明尼蘇達大學的一組研究人員發表了一封公開信,致歉並解釋了他們活動的動機,他們的更改最近被格雷格·克羅哈-哈特曼 (Greg Croah-Hartman) 阻止。讓我們回想一下,該小組正在研究傳入修補程式審查中的弱點,並評估推動對核心隱藏漏洞進行更改的可能性。在收到一名小組成員提供的可疑補丁和毫無意義的修復後,人們認為研究人員再次嘗試對核心開發人員進行實驗。由於此類實驗可能會構成安全威脅並佔用提交者的時間,因此決定阻止接受更改並發送所有先前接受的修補程式以供重新審核。
該組織在公開信中表示,他們的活動完全是出於良好的意願以及透過識別和消除弱點來改善變更審核流程的願望。該小組多年來一直在研究導致漏洞的過程,並積極致力於識別和消除 Linux 核心中的漏洞。提交重新審查的所有 190 個修補程式據說都是合法的,修復了現有問題,並且不包含故意的錯誤或隱藏的漏洞。
這項關於促進隱藏漏洞的令人震驚的研究於去年八月進行,僅限於提交三個錯誤補丁,但沒有一個補丁進入核心程式碼庫。與這些補丁相關的活動僅限於討論,並且補丁的進度在將變更新增至 Git 之前的階段停止。三個有問題的補丁的代碼尚未提供,因為這將暴露進行初步審查的人員的身份(資訊將在獲得未識別錯誤的開發人員的同意後披露)。
研究的主要來源不是我們自己的補丁,而是對其他人添加到核心中的補丁的分析,因此漏洞隨後浮出水面。明尼蘇達大學團隊與添加這些補丁無關。總共研究了 138 個導致錯誤的問題補丁,到研究結果發佈時,所有相關錯誤都已修正,包括進行研究的團隊的參與。
研究人員對他們使用了不當的實驗方法感到遺憾。錯誤在於研究是在未經許可且未通知社區的情況下進行的。隱藏活動的動機是希望實現實驗的純度,因為通知可能會引起人們對補丁及其評估的特別關注,而不是在一般基礎上進行評估。儘管目標不是提高核心安全性,但研究人員現在意識到將社區用作實驗對像是不恰當且不道德的。同時,研究人員保證他們絕不會故意傷害社區,也不會允許新的漏洞被引入到工作的核心程式碼中。
至於作為禁令催化劑的毫無意義的補丁,它與先前的研究無關,而是與一個新項目相關,該項目旨在創建自動檢測由於添加其他補丁而出現的錯誤的工具。
該小組成員目前正在努力尋找回歸開發的方法,並打算通過證明自己在提高內核安全性方面的有用性並表達為共同利益而努力工作並重新獲得信任的願望來修復與Linux 基金會和開發者社區的關係。
來源: opennet.ru