如果你只是想了解这个故事,这里是简要的回顾:明尼苏达大学的研究人员故意提交了补丁,将释放后使用(UAF)漏洞进入Linux内核。当它出现时,他们又一次试图https://www.zdnet.com/article/greg-kroah-hartman-bans-university-of-minnesota-from-linux-development-for-deliberately-buggy-patches/“>将垃圾补丁放入内核,Greg Kroah Hartman,稳定分支的Linux内核维护者,禁止UMN开发人员提交到内核,并提取现有的可疑UMN补丁。如果希望再次使用Linux内核,则请求UMN遵守。现在,ZDNet已经获得了UMN对Linux社区的响应。
据UMN教授、计算机科学与工程系主任Mats Heimdahl说,学校感谢Linux基金会的要求,他们期待着达成“双方都满意的解决方案”,重新合作“是一条路。”
具体来说,Heimdahl继续说:
我们目前正在考虑您的请求,并尽快做出实质性回应。特别是,研究小组正在准备一封致Linux社区的信,我们目前正试图获得同意,以便发布小组提交的所有代码信息。一旦我们有机会调查剩下的问题,我们将非常感谢有机会与您会面,讨论并向前推进。
这是对Linux基金会高级副总裁兼项目总经理Mike Dolan的回应,请向公众提供:,以快速的方式,从任何U-of-MN实验中识别已知易受攻击代码的所有建议所需的所有信息。信息应包括每个目标软件的名称、提交信息、声称的投标人名称、电子邮件地址、日期/时间、主题,和/或代码,以便所有软件开发人员能够快速识别此类建议,并可能对此类实验采取补救措施。
很难找到有问题的代码和相关文档。UMN的研究人员在跟踪他们自己的研究方面做得很差。作为高级Linux内核开发人员,Al Viro,评论说:“数据的缺乏是导致整个事情不成比例的一部分——如果他们不厌其烦地附上他们实验中提交的SHA1的列表(或链接到这些列表),或者更好的是,维护并提供了所有提交的消息ID列表,成功与否,这与一揽子回复请求等的混乱会小得多(如果真的发生了)。“
Dolan还代表Linux开发人员社区询问,来自这项研究的论文,“关于通过伪君子在开放源代码软件中秘密引入漏洞的可行性的承诺”被撤回,因为研究人员,吴秋石和阿迪蒂亚帕克基,以及他们的研究生导师,康杰路,一位UMN计算机科学与技术学院的助理教授;工程部,在未经许可的情况下对Linux内核维护者进行了实验。因此,该论文应“从正式出版物和正式报告中”撤回所有基于该研究或类似研究的研究工作,其中人们似乎未经事先同意就进行了实验。把档案信息公布在互联网上是可以的,因为它们大部分已经公开了,但这类作品不应该有研究学分。”
虽然海姆达尔没有提到这一点,但这篇论文已经被撤回。在一份公开声明中,吴和陆,但不是帕克基,他写道:“我们希望撤回发表在第42届IEEE安全研讨会和隐私。“的这篇论文已经被这个高级别会议接受了。
他们撤回这篇论文有两个原因:
首先,我们犯了一个错误,在进行研究之前没有与Linux内核社区合作。我们现在了解到,将其作为我们研究的主题,并在未经社区知情或许可的情况下浪费精力审查这些补丁是不适当的,也是对社区的伤害。相反,我们现在认识到,做这类工作的适当方法是事先与社区领导人接触,以便他们了解工作,批准工作目标和方法,并在工作完成和发表后支持方法和结果。因此,我们撤回这篇论文是为了不让我们从不当的研究中获益。
其次,考虑到我们方法的缺陷s、 我们不希望这篇论文成为这个社区如何进行研究的典范。相反,我们希望这段插曲将成为我们社区的学习时刻,由此产生的讨论和建议可以作为今后适当研究的指南。因此,我们撤回这篇论文是为了防止我们错误的研究方法被视为今后如何进行研究的模式。对于我们的研究小组对Linux内核社区、IEEE安全与隐私研讨会的声誉、我们的系和大学以及整个社区造成的任何伤害,我们深表歉意。
Heimdahl的说明和这封公开信之间,似乎UMN已经同意了Linux基金会的主要请求。仍然有一些细节有待解决,但现在看来,UMN、Linux基金会和Linux内核开发人员社区应该能够很快达成和解。完成后,UMN可以重新开始研究,而维护人员可以重新开始改进内核的实际工作,而不是寻找潜在的虚假补丁。
相关报道:
Copyright © 2017-2023 soword.cn SOWORD科技言
网站地图 BUG反馈 联系我们 用户隐私
栖族科技开发服务中心
浙公网安备 33011002016917号
京ICP备19009350号-2
soword科技言免费资源网站,免费API接口,免费开发模板,免费开发工具,开发技术问题,汉化版免费开发工具,API接口,开发教程,免费教程
SOWORD科技言
