※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2021-04-23 09:45:38
看板 Gossiping
作者 標題 [新聞] 把漏洞導入Linux核心來作實驗,Linux大
時間 Fri Apr 23 04:44:24 2021
【新聞網址】:https://www.ithome.com.tw/news/143992
把漏洞導入Linux核心來作實驗,Linux大佬封殺明尼蘇達大學所有貢獻 | iThome
![[圖]]()
一群明尼蘇達大學(UMN)的研究人員,以進行研究的名義,貢獻含有臭蟲的修補程式至Linux核心,引發社群反彈 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/0422-ink_poison_by_katrin_hauf_on_unsplash.png)
【縮網址】:https://bit.ly/2QoX6cq
【記者】:陳曉莉,2021年4月22日
一群明尼蘇達大學(UMN)的研究人員,以進行研究的名義,貢獻含有臭蟲的修補程式至Lin
ux核心,引發社群反彈
有一群來自明尼蘇達大學(University of Minnesota,UMN)的研究人員,藉由貢獻修補程
式至Linux核心的名義,實則利用修補程式導入臭蟲或漏洞,以觀察Linux核心社群的反應,
近日再度故技重施時,遭到Linux大佬Greg Kroah-Hartman斥責,Greg Kroah-Hartman不僅
封鎖了所有來自該大學的貢獻,還移除了過去該大學曾經貢獻的程式碼。
式至Linux核心的名義,實則利用修補程式導入臭蟲或漏洞,以觀察Linux核心社群的反應,
近日再度故技重施時,遭到Linux大佬Greg Kroah-Hartman斥責,Greg Kroah-Hartman不僅
封鎖了所有來自該大學的貢獻,還移除了過去該大學曾經貢獻的程式碼。
https://twitter.com/gregkh/status/1384785747874656257?s=19
![[圖]](https://pbs.twimg.com/profile_images/1550589992/gregkh_gecko_bigger.jpg)
@gregkhLinux kernel developers do not like being experimented on, we have enough real work to do: https://lore.kernel.org/linux-nfs/YH/fM/TsbmcZzwnX@kroah.com/ …
Kroah-Hartman寫了一封措辭嚴厲的電子郵件予該群研究人員,指出他們過去即曾公開坦承
送出含有許多臭蟲的修補程式至Linux核心社群,以測試社群的反應,還以此發表了論文,
這次他們再度提交了一系列明顯錯誤的修補程式,這些程式並沒有修補任何東西,使得他假
設Linux社群再度淪為實驗對象。
送出含有許多臭蟲的修補程式至Linux核心社群,以測試社群的反應,還以此發表了論文,
這次他們再度提交了一系列明顯錯誤的修補程式,這些程式並沒有修補任何東西,使得他假
設Linux社群再度淪為實驗對象。
Kroah-Hartman指出,該群研究人員並未要求社群的協助,反而是在知道這是個實驗的狀態
下,宣稱該修補是合法的,然而,Linux核心社群的任務並非是成為別人的測試對象,他們
歡迎開發人員協助強化Linux,但這些研究人員的所作所為並非如此。
下,宣稱該修補是合法的,然而,Linux核心社群的任務並非是成為別人的測試對象,他們
歡迎開發人員協助強化Linux,但這些研究人員的所作所為並非如此。
惹毛Kroah-Hartman的研究,應是明尼蘇達大學在今年2月所出版的「開源碼的不安全性:偽
君子偷偷導入了漏洞」(Open Source Insecurity: Stealthily Introducing Vulnerabili
ties via Hypocrite Commits)報告,這群研究人員利用貢獻程式碼(修補程式)至Linux
核心社群的機會,在程式碼中夾帶了臭蟲與潛在的安全漏洞,成功於Linux核心中引進了釋
放後使用(Use After Free)漏洞,並提出了緩解相關問題的解決方案。
核心社群的機會,在程式碼中夾帶了臭蟲與潛在的安全漏洞,成功於Linux核心中引進了釋
放後使用(Use After Free)漏洞,並提出了緩解相關問題的解決方案。
Kroah-Hartman說,Linux核心社群並不歡迎這種實驗,也不願接受提交無用修補程式的測試
,決定從今以後封鎖所有來自明尼蘇達大學的貢獻,也會移除該大學過去的貢獻。
在遭到Kroah-Hartman猛烈的批評之後,明尼蘇達大學電腦科學暨工程學院的負責人Mats He
imdahl很快就發表了聲明,表示他們非常重視此一事件,也立即停止這類的研究,將進一步
調查此一研究方法,以及該研究方法被核准的過程,以期採取適當的補救措施,也會在調查
結果出爐後,儘快將報告提交給Linux核心社群。
imdahl很快就發表了聲明,表示他們非常重視此一事件,也立即停止這類的研究,將進一步
調查此一研究方法,以及該研究方法被核准的過程,以期採取適當的補救措施,也會在調查
結果出爐後,儘快將報告提交給Linux核心社群。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.34.39 (臺灣)
※ 文章代碼(AID): #1WWU0g4r (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1619124266.A.135.html
噓 : 幹你娘UMN那群自私的人渣全都該死1F 04/23 04:46
→ : 不就是個天堂外掛輔助程式2F 04/23 04:47
推 : 很像某黨派人去協助時力一樣 時間一到就各種漏洞後門3F 04/23 04:47
→ : 87 = =4F 04/23 04:50
推 : ubuntu更新有夠頻繁的是不是該找它們算帳5F 04/23 04:51
推 : 台灣太自由 Linux太開放 CCC6F 04/23 04:55
推 : 操她媽的這群垃圾7F 04/23 04:58
推 : 不過這確實反映一個問題就是了
推 : 不過這確實反映一個問題就是了
推 : 壓力測試....9F 04/23 05:07
推 : 如果事先告知呢 不然這是好問題 要是有人故意放臭蟲 被10F 04/23 05:24
→ : 釋出怎辦
→ : 不過這樣搞整個社群都受害 真的是很嚴重
→ : 釋出怎辦
→ : 不過這樣搞整個社群都受害 真的是很嚴重
→ : 真的有病= =想出名想瘋了48413F 04/23 05:32
推 : ........14F 04/23 05:45
推 : 其實就是想要人家免費幫忙修補漏洞啦15F 04/23 05:47
推 : 美國垃圾學店16F 04/23 07:04
推 : 測試這種東西 怎麼會是電腦工程科系做的實驗阿?17F 04/23 07:06
推 : 確實要有機制檢核任何貢獻的程式碼是沒漏洞的,真的有心人18F 04/23 07:10
→ : 士來一次大條全掛吧
→ : 士來一次大條全掛吧
推 : 哈哈 直接被封殺20F 04/23 07:10
推 : 中國的貢獻沒有後門嗎21F 04/23 07:11
推 : 當Code Review是北七嗎22F 04/23 07:36
推 : 被Ban了吧 有夠自私23F 04/23 07:36
推 : 實際上 UMN Code Review 就是證實了Code Review確實北七24F 04/23 07:39
→ : 只是我覺得大家review的時候通常是驗證邏輯上的正確性
→ : 只是我覺得大家review的時候通常是驗證邏輯上的正確性
推 : 其實這應該可以提告,而且違反學術倫理,非常嚴重26F 04/23 07:41
→ : 基本上,不能在未充分告知風險的前提下進行這種實驗
→ : 因為未充分揭露風險將導致使用者承擔各種可能損失
→ : 基本上,不能在未充分告知風險的前提下進行這種實驗
→ : 因為未充分揭露風險將導致使用者承擔各種可能損失
→ aja1008 …
推 : 野雞大學31F 04/23 07:52
推 : 這跟open source無關啊 非開源軟體的員工 也可以故意在程32F 04/23 08:06
→ : 式放入漏洞 只要有心非開源更難抓
→ : 式放入漏洞 只要有心非開源更難抓
推 : 我倒覺得,說要台獨然後迴避當兵比較噁爛34F 04/23 08:06
→ : 所以資工沒工程倫理這門課嗎?35F 04/23 08:18
推 : 垃圾大學36F 04/23 08:19
→ : 幹你娘咧 答應要給你們做研究了37F 04/23 08:25
→ : 這違反學術論理了吧38F 04/23 08:27
推 : 垃圾39F 04/23 09:15
推 : 這跟共產主義滲透一般國家社會的做法一樣啊。40F 04/23 09:16
推 : 時代力量: 乾拎量...41F 04/23 09:42
--
※ 看板: Gossiping 文章推薦值: 0 目前人氣: 0 累積人氣: 1556
2樓 時間: 2021-04-23 15:41:20 (台灣)
→
04-23 15:41 TW
這就跟前兩天說鮭魚之亂是自己做的社會實驗那個一模一樣意思 用P圖騙人自己其實沒改名,把別人當作傻瓜跟小白鼠 自己放的有漏洞的核心當然自己也不會用啊,要死死別人就好
回列表(←)
分享