明尼苏达大学的一组研究人员发表了一封公开信,致歉并解释了他们活动的动机,他们的更改最近被格雷格·克罗哈-哈特曼 (Greg Croah-Hartman) 阻止。 让我们回想一下,该小组正在研究传入补丁审查中的弱点,并评估推动对内核隐藏漏洞进行更改的可能性。 在收到一名小组成员提供的可疑补丁和毫无意义的修复后,人们认为研究人员再次尝试对内核开发人员进行实验。 由于此类实验可能会构成安全威胁并占用提交者的时间,因此决定阻止接受更改并发送所有先前接受的补丁以供重新审核。
该组织在公开信中表示,他们的活动完全是出于良好的意愿以及通过识别和消除弱点来改进变更审核流程的愿望。 该小组多年来一直在研究导致漏洞的过程,并积极致力于识别和消除 Linux 内核中的漏洞。 提交重新审查的所有 190 个补丁据说都是合法的,修复了现有问题,并且不包含故意的错误或隐藏的漏洞。
这项关于促进隐藏漏洞的令人震惊的研究于去年八月进行,仅限于提交三个错误补丁,但没有一个补丁进入内核代码库。 与这些补丁相关的活动仅限于讨论,并且补丁的进度在将更改添加到 Git 之前的阶段停止。 三个有问题的补丁的代码尚未提供,因为这将暴露进行初步审查的人员的身份(信息将在获得未识别错误的开发人员的同意后披露)。
研究的主要来源不是我们自己的补丁,而是对其他人添加到内核中的补丁的分析,因此漏洞随后浮出水面。 明尼苏达大学团队与添加这些补丁无关。 总共研究了 138 个导致错误的问题补丁,到研究结果发布时,所有相关错误都已得到纠正,包括进行研究的团队的参与。
研究人员对他们使用了不恰当的实验方法感到遗憾。 错误在于该研究是在未经许可且未通知社区的情况下进行的。 隐藏活动的动机是希望实现实验的纯度,因为通知可能会引起人们对补丁及其评估的特别关注,而不是在一般基础上进行评估。 尽管目标不是提高内核安全性,但研究人员现在意识到将社区用作实验对象是不恰当且不道德的。 同时,研究人员保证他们绝不会故意伤害社区,也不会允许新的漏洞被引入到工作的内核代码中。
至于作为禁令催化剂的毫无意义的补丁,它与之前的研究无关,而是与一个新项目相关,该项目旨在创建自动检测由于添加其他补丁而出现的错误的工具。
该小组成员目前正在努力寻找回归开发的方法,并打算通过证明自己在提高内核安全性方面的有用性并表达为共同利益而努力工作并重新获得信任的愿望来修复与 Linux 基金会和开发者社区的关系。
来源: opennet.ru