Университет отправлял в ядро Linux патчи с уязвимостями

Грег Кроа-Хартман отвечает за поддержку стабильной ветки ядра Linux, и недавно он принял решение запретить приём в ядро Linux любых изменений, которые отправляет Университет Миннесоты. Ранее принятые патчи решили откатить и провести их повторное рецензирование.  

Почему патчи блокировали?

Всё из-за исследовательской группы, которая изучает возможность продвижения скрытых уязвимостей в код открытых проектов. Она отправляла патчи с разными ошибками, смотрела на реакцию сообщества и исследовала методы обхода рецензирования изменений. Грег считает, что такие эксперименты неприемлимы и неэтичны. 

Исследовательская группа отправила патч, который добавлял проверку указателя для исключения потенциального двойного вызова функции “free”. По контексту эта проверка бессмысленная, а целью исследователей было проверить, пройдёт ли патч рецензирование.

Выяснилось, что из Университета Миннесоты отправляли и другие странные патчи, в том числе и со скрытыми уязвимостями.

Как развивались события дальше

Отправлявший патчи исследователь оправдывался, что он тестирует статический анализатор, и изменения подготовил именно он. Грег Кроа-Хартман сказал, что подготовленные анализаторами изменения выглядят не так, и патчи ничего не исправляют.

Главная проблема в том, что исследователи из Университета Миннесоты не только вредили, но и исправляли реальные уязвимости. Грег откатил 190 изменений, мейнтейнеры начали проверку, и в некоторых случаях изменения были оправданы. Но параллельно члены сообщества нашли новые уязвимости, отправленные учёными.

Руководство факультета компьютерных наук Университета Миннесоты опубликовало заявление о приостановке исследований, инициировании проверки корректности методов исследования и выяснении того, как такое могли одобрить. Отчёт с результатами передадут сообществу.

Добавить комментарий

Спасибо, что поделились