L’équipe du noyau Linux rejette les excuses des chercheurs de l’Université du Minnesota

La semaine dernière, le développeur en chef du noyau Linux Greg Kroah-Hartman Afficher Par défaut, tous les correctifs Linux provenant de l’Université du Minnesota seront rejetés.

Le changement de politique est survenu alors que trois chercheurs de l’Université du Minnesota – Qiushi Wu, Kangjie Lu et Aditya Pakki – se sont lancés dans un programme pour tester la résistance de la communauté des développeurs du noyau Linux à ce que le groupe a appelé «l’engagement de l’hypocrite».

Test de la communauté du noyau Linux

Tripler Prévu Il s’agissait d’abord de trouver trois bogues faciles à corriger et de faible priorité dans le noyau Linux, puis de les corriger – mais de les corriger d’une manière qui complète ce que les chercheurs de l’UMN ont appelé une «vulnérabilité immature»:

Nous utilisons un outil d’analyse statique pour identifier trois «vulnérabilités immatures» sous Linux, nous découvrons donc trois vrais bogues mineurs qui devraient être corrigés. Les «  vulnérabilités immatures  » ne sont pas de vraies vulnérabilités car une condition (telle que l’utilisation d’un objet modifié) est toujours manquante […] Nous construisons trois corrections mineures incorrectes ou incomplètes pour corriger les trois erreurs. Mais ces corrections secondaires fournissent les conditions manquantes pour les «vulnérabilités immatures».

Les chercheurs ont ensuite envoyé par e-mail les trois corrections de chevaux de Troie aux modérateurs du noyau Linux, pour voir si les modérateurs ont découvert le problème le plus grave que les chercheurs ont introduit en corrigeant un simple bogue. Une fois que les modérateurs ont répondu à la correction fournie, les chercheurs de l’UMN ont signalé l’erreur saisie par leur correctif et ont fourni un correctif « approprié » – un qui ne présentait pas de cas nouvellement exploitable – en place.

Lu Woo Woo et Baki ont publié leurs résultats en février lors du 42e symposium de l’IEEE sur la sécurité et la confidentialité.

Réponse initiale

La semaine dernière, l’un des principaux développeurs du noyau Linux, Greg Crow Hartman reculer 68 étiquettes postées par des personnes avec des adresses e-mail umn.edu en réponse aux «Obligations des hypocrites». En plus d’annuler ces 68 corrections actuelles, Kroah-Hartman a annoncé une politique de « rejet hypothétique » des futures corrections provenant de quiconque ayant @umn.edu Titre.

Kroah-Hartman a continué à autoriser des exceptions pour de telles corrections futures si « vous fournissez des preuves et vous pouvez le vérifier », mais il n’arrêtait pas de demander: « Vraiment, pourquoi perdez-vous votre temps à faire ce travail supplémentaire? »

Le Département d’informatique et d’ingénierie de l’Université du Minnesota a répondu à l’interdiction par une « suspension immédiate »[ing] Cette ligne de recherche «promet d’étudier la méthode des chercheurs – et le processus qui a été approuvé.

Les excuses ne sont pas acceptées

Ce samedi, l’équipe de recherche de l’UMN je m’excuse À la communauté Linux via une lettre ouverte publiée sur la liste de diffusion du noyau Linux. La lettre ouverte d’environ 800 mots est plus «attendez, vous ne comprenez pas» que des excuses:

Nous voulons juste que vous sachiez que nous n’endommagerons pas intentionnellement la communauté du noyau Linux et n’introduirons jamais de vulnérabilités de sécurité. Notre travail est mené avec les meilleures intentions du monde et consiste à trouver et corriger les vulnérabilités.

Le travail des «hypocrites» a été réalisé en août 2020. Il visait à améliorer la sécurité du processus de débogage sous Linux. Dans le cadre du projet, nous avons examiné les problèmes potentiels dans le processus de débogage du système Linux, y compris les causes des problèmes et des suggestions pour y remédier.

Kroah-Hartman a admis le message dimanche mais était clairement moins qu’impressionné:

Comme vous le savez, la Linux Foundation et le comité consultatif technique de la Linux Foundation ont soumis vendredi une lettre à votre université décrivant les actions spécifiques à entreprendre pour que votre groupe et votre université puissent travailler pour restaurer la confiance de la communauté du noyau Linux.

Tant que ces mesures ne seront pas prises, nous n’avons rien d’autre à discuter sur cette question.

Nous ne savons pas pour le moment quelles sont exactement les procédures que la Kroah-Hartman et la Linux Foundation exigent du groupe et de son université.