教授故意向Linux提交Bug程式碼來測試審核能力,整所大學被列入黑名單

教授故意向Linux提交Bug程式碼來測試審核能力,整所大學被列入黑名單

Linux 核心是現代歷史上最大的軟體計畫之一,已經擁有超過2800萬行程式碼,來自世界各地和不同領域的貢獻者每天都會向 Linux 核心維護者提交大量更新檔,以便他們在正式合併到 Linux 核心樹之前得到審查。這些更新檔可以幫助修復核心中的bug或小問題,或者引入新特性。

然而,Linux 核心計畫維護者最近做出了一個令人大跌眼鏡的決定:禁止明尼蘇達大學(UMN)參與開源 Linux 計畫。 

這背後究竟有啥「不可告人」的故事呢? 

原來是明尼蘇達大學的一位教授往 Linux 核心中提交了惡意程式碼(更新檔),然後將其用於做學術研究。然而這些惡意程式碼對官方 Linux 程式碼庫來說是安全漏洞,他們的這些舉動被 Linux 核心維護人員發現。

這豈能不引起 Liunx 社群的憤怒?

此外,Linux 核心計畫維護人員已經決定隨時收回所有來自明尼蘇達大學官方郵件提交的程式碼。

故意挖坑水論文? 

提出這項禁令的人,是 Linux 核心開發者 Greg Croha-Hartmann: 

Linux 方面表示,採取此舉措的理由是: 

「他們曾試圖測試核心社群審查發現「已知惡意程式碼漏洞」時臨時應變的能力。」

(這意思是把 Linux 核心社群審查人員當做了工具人?)

「因此,他們的所有程式碼提交都必須從核心樹中返回,並且需要再次進行審查,以確定它們是否確實是有效的修復程式還是惡意的漏洞。」

「在完成工作之前,(我們正在刪除)此更改,以確保不會在程式碼庫中引入任何問題,」Croha-Hartmann 在一系列已發佈的電子郵件中說道。 

2021年2月,UMN研究人員陸康傑等發表了題為《Open Source Insecurity: The Silent Introduction of Weaknesses through the Hypocrite Commit》(開源不安全:透過 Hypocrite Commit可以悄悄引入漏洞)的研究論文。 

論文網址:https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

這項研究的重點是透過累積惡意或不安全的更新檔,在 Linux 核心中故意引入已知的安全漏洞。 

下圖是陸康傑的個人介紹:

在 BleepingComputer上,論文研究人員展示了一些實例,其中提交的更新檔引入了已知的安全漏洞:

如上圖所示,研究人員嘗試在程式碼中重現 NULL 指針取消引用缺陷(CVE-2019-15922)。 

「null狀態的引入很簡單。該更新檔程式是適當有效的,因為它在釋放指針後會禁用 pf-> disk-> queue。」UMN 研究人員在論文中說道:「但是,某些任務(例如pf_detect()和pf_exit())將在 null 之後被調用,它們將在不檢查其狀態的情況下更多地中斷該指針,進而導致NULL指針的出現。」

在 BleepingComputer 上,有成百上千條偽裝為「更新檔」的評論。Croha-Hartmann 已決定將其駁回,以下是被 Hartmann 撤回的 UMN 研究人員的部分程式碼提交列表:

研究人員反擊

很快啊,UMN 的研究人員 Aditya Pakki 對 Croha-Hartman 的行為予以了回擊,並命令他「停止胡亂指責」。 

他表示: Greg,我希望你們立即停止譴責和無禮的指控。

這些更新檔是我編寫的新靜態分析器(Static Analyzer)的一部分,敏感性並不高。我把更新檔發送給Asha,是因為我們並不是 Linux 核心方面的專家,希望能夠獲得一些改進的建議。一次又一次地聽到你們這些說法實在令人厭惡。

當然,這是一個錯誤的行為,但你的批評明顯帶著強烈的偏見,你的指責沒有所說理由,也不會對我們的改進有任何幫助。我不會再發送任何更新檔,因為你們這種態度不僅不可取,也是對新手和非專家從業者的傷害。

隨後,Croha-Hartman 回應說:Linux 開發人員社群討厭這種行為,建議你去其他社群,這裡不歡迎你。我們將刪除你以前所有的貢獻,因為這些貢獻明顯是在惡意挑起事端。此外,因為你的行為,我們現在不得不禁止貴校以後的所有投稿。 

針對此事,開源安全公司總裁 Brad Spengler 發推表示,真是一團糟!現在 Linux 的過激行為將給每位開發者人員帶來更多的麻煩,在去年就有人(包括我)警告過 UMN。

「…這種誇張的承諾是很可怕的,從任何研究中刪除之前(CAP_SYS_ADMIN Checks)......,都是十分瘋狂的。」

「開展幕後審查是可以接受的,但只審查結果即可,可是需要故意重提幾十個不足來表明立場嗎?,Spengler 繼續說道。

最終迫於輿論的壓力,4月21日,明尼蘇達大學發表官方聲明,表示已中止了相關研究,並將針對此事展開內部調查。

UMN 網址:https://cse.umn.edu/cs/statement-cse- Linux -kernel-research-april-21-2021

 明尼蘇達大學電腦科學與工程系的負責人今天瞭解到,該校一名教員和研究生正在對 Linux 核心的安全性進行研究。他們所使用的研究方法引起了 Linux 核心社群的強烈不滿,截止目前,此事已導致 UMN 被禁止發表任何與 Linux 核心有關的研究成果。

我們非常重視此事,並立即中止了校內的這項研究。接下來,我們將對該研究方法及實施過程展開調查,以採取適當的補救措施,並防範相關事件的再次發生。我們會盡快向社會匯報調查結果。

▶ 訂閱T客邦YT頻道,送萬元【OVO K1 智慧投影機】

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則