¿Qué sucedió? ! Probablemente no sea raro que a los usuarios individuales se les prohíba contribuir a Linux por tomar malas decisiones. Sin embargo, que yo sepa, la Fundación Linux ha puesto todo el dominio bajo arresto domiciliario por primera vez. Cualquier usuario que envíe un envío desde una dirección de umn.edu (Universidad de Minnesota) será «denegado por defecto» hasta nuevo aviso.
La Fundación Linux ha prohibido que toda la Universidad de Minnesota contribuya al kernel de Linux.Investigador escolar expulsado correo Un documento titulado «Inseguridad de código abierto: introducción encubierta de vulnerabilidades a través de presentaciones hipócritas». El documento detalla cómo los estudiantes de la Universidad de Michigan, Qiushi Wu y Kangjie Lu, enviaron deliberadamente un código con fallas de seguridad para «probar la capacidad de la comunidad del kernel para revisar los cambios ‘maliciosos conocidos'».
El investigador de la Fundación Linux, Greg Kroah-Hartman, no aprecia los experimentos «maliciosos».él mencionado En los correos electrónicos a otros mantenedores del núcleo, incluido el propio Linus Torvalds, deben rechazar todas las confirmaciones de los usuarios con direcciones de correo electrónico umn.edu a partir de ahora.
Haga un seguimiento para eliminar casi todos estos cambios: https://t.co/wLnQxwKfyk
— Greg KH (@gregkh) 21 de abril de 2021
«Me encargaré de esto a través de mi árbol, por lo que los mantenedores no deben preocuparse por esto, pero deben tener en cuenta que las confirmaciones futuras de cualquier persona con una dirección umn.edu deben rechazarse de forma predeterminada a menos que se determine de otra manera que realmente son efectivas». arreglar», escribió Crowha-Hartman. Los mantenedores aún tienen la libertad de aprobar las presentaciones, pero solo si «proporcionan evidencia y pueden verificarla», dijo. Así que es esencialmente una prohibición suave.
«Pero en serio, ¿por qué perder el tiempo haciendo todo ese trabajo extra?», agregó Kroah-Hartman después.
Las acciones de los dos investigadores no fueron el único factor en la decisión de prohibir toda la escuela.¿Cuántos tercios de U de M usuarios hay? entregar Código de basura inútil. Kroah-Hartman ordenó el restablecimiento y la revisión de todas las presentaciones anteriores de la universidad. Él mismo comenzó el trabajo y enumera muchos de los códigos que ha recuperado.
En respuesta a la prohibición, el liderazgo de la UMN emitió una declaración en la que se comprometía a «tomar medidas correctivas».
«El liderazgo del Departamento de Ciencias de la Computación e Ingeniería de la Universidad de Minnesota conoció hoy los detalles de la investigación que está realizando uno de sus profesores, personal y estudiantes graduados sobre la seguridad del kernel de Linux.
«Nos tomamos esta situación muy en serio. Suspendemos la investigación en esta área de inmediato. Investigaremos la metodología de investigación y el proceso para aprobarla, determinaremos los remedios apropiados y, si es necesario, evitaremos problemas futuros. Presentaremos nuestro informe sobre los hallazgos al comunidad.»
Es peor que simplemente experimentar; es como decir que eres un «investigador de seguridad» que va a la tienda de comestibles a cortar las líneas de freno de todos tus autos y ver cuántas personas chocan al salir.muy poco ético; espero @UMNoticias Hay una nota IRB!
— Jared Floyd (@jeredfloyd) 21 de abril de 2021
Los investigadores también emitieron un comunicado. negar Solían enviar deliberadamente errores al núcleo. Dicen que los parches defectuosos se envían por correo electrónico a los mantenedores para recibir comentarios. Una vez que obtienen una respuesta de «se ve bien», notifican a los mantenedores del error intencional y les dicen que no se comprometan.Sin embargo, toda la controversia comenzó después de que alguien establecido Al menos cuatro vulnerabilidades pasaron la revisión de personas con direcciones de correo electrónico de la UMN.
Si bien no se disculpó por su trabajo, los estudiantes expresaron su pesar por el esfuerzo adicional que supuso para los mantenedores.
«Nos disculpamos sinceramente con los mantenedores que participaron en el proceso de revisión del parche correspondiente, que realmente les hizo perder su valioso tiempo», explicaron Wu y Lu. «Hemos pensado en este problema cuidadosamente, pero no pudimos encontrar una mejor solución en este estudio».
Es comprensible que este problema haya provocado discusiones acaloradas dentro de la comunidad de Linux. La desarrolladora del kernel, Laura Abbot, condenó la naturaleza frívola y las conclusiones del estudio, señalar La posibilidad de que se introduzca código malicioso de forma deliberada es bien conocida en la comunidad.
Fuente de imagen: Estanislao Mikulski