LINUX.ORG.RU

Исследователям удалось добавить в ядро Linux уязвимый код

 , ,


4

1

Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.

В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.

>>> Ссылка на исследование

anonymous

Проверено: xaizek ()

Ответ на: комментарий от crypt

Надо было сказать, что мы хотим провести эксперимент, вот в течении этого года будут отосланы патчи, которые содержат уязвимости, не критические, но всё же. Первые 2-3 месяца последили бы активно, потом забили бы. И через пол года уже можно начать отправлять патчи: сначала нормальные, нормальные, потом вредоносные.

fernandos ★☆ ()
Ответ на: комментарий от balsoft

Блэкхэтовцы должны ответить за нанесенный вред.

напоминаю тебе про недавнюю дыру в Exchange. сколько инсталяцией поимели недавно в госорганах сша? на кого грешим, на китайцев? ну как, есть на кого в суд подать? или лучше бы кто-то нашел способ пенетрейшена, а потом написал об этом?

crypt ★★★★★ ()
Ответ на: комментарий от LamerOk

Ъ. Ъ никогда не меняются.

Твоя цитата говорит только о том, что чувакам универ кажется более авторитетной инстанцией, чем сообщество Линукс кернел. Сообщество с этим не согласилось, получился жуткий скандал, и теперь у универа департамент computer science опустился с 2-tier до 3-tier, что колоссально скажется на поступлениях ден.знаков.

mv ★★★★★ ()
Ответ на: комментарий от mv

Похоже эксперимент оказался многогранным, не только проверил качество ревью но и насколько уровень универа зависит от настроения сообщества разработчиков.

anonymous ()
Ответ на: комментарий от crypt

Лучше бы кто-то нашел способ пенетрейшена, написал об этом в Микрософт, и через месяц опубликовал бы уязвимость. А не так, как эти ребята – внесли уязвимость, а потом опубликовали её 0-day.

balsoft ★★ ()
Ответ на: комментарий от Leupold_cat

о, приветствую, тут какая-то странность. во-первых, какой-то леопольд кэт ходил с аватарой столмана, а во-вторых, почта пришла о смене емейла. это все валидные действия?

crypt ★★★★★ ()
Ответ на: комментарий от Leupold_cat

Вся прелесть ситуации в том, что нет. Точнее, университет универсален, как ему и полагается.

Ну да, только на liberal arts всем насрать, а на computer science - нет.

mv ★★★★★ ()
Ответ на: комментарий от crypt

да невелика потеря. частным порядком можно послать.

Почему не нести свои деньги в универ, где патчи в ядро можно с .edu посылать? Как бы, студенты весьма понтятся емейлом типа [@]mit.edu.

mv ★★★★★ ()
Последнее исправление: mv (всего исправлений: 1)
Ответ на: комментарий от balsoft

Лучше бы кто-то нашел способ пенетрейшена, написал об этом в Микрософт, и через месяц опубликовал бы уязвимость. А не так, как эти ребята – внесли уязвимость, а потом опубликовали её 0-day.

для кого лучше? эту уязвимость бы тихонько закрыли. я предпочитаю знать о найденных проблемах. ты вообще опенсорс разрабатываешь?

crypt ★★★★★ ()
Ответ на: комментарий от LamerOk

По утверждению Леона Романовски, как минимум один из этих потенциально вредоносных патчей попал в stable.

https://lore.kernel.org/linux-nfs/YIAta3cRl8mk%2FRkH@unreal/

Коммит 8e949363f017 («net: mlx5: Add a missing check on idr_find, free buf»)

balsoft ★★ ()
Ответ на: комментарий от crypt

про деньги не понял. ну отнеси свои деньги…

Университеты в США совсем не бесплатны. В нормальном, не топовом, за одного ребёнка оставишь $250-300к. У меня, как минимум, двое, и в тот сарай они теперь явно не пойдут.

mv ★★★★★ ()
Ответ на: комментарий от balsoft

я тебе больше скажу, что даже опенсорс проекты замалчивают проблемы:

Примечательно, что проблема присутствует в коде Glibc начиная с версии 2.2, выпущенной в ноябре 2000 года. При этом проблема была молча устранена в мае 2013 года без указания на то, что исправленная ошибка имеет отношение к серьёзным проблемам с безопасностью.

https://www.opennet.ru/opennews/art.shtml?num=41549

чуваки из универа - просто гипер-молодцы

crypt ★★★★★ ()
Ответ на: комментарий от anonymous

Повезло чуваку, не будет работать в одной конторе с терпилой.

Офигенно повезло, подфартило! Мы тут как раз очень удачно на IPO недавно вышли.

mv ★★★★★ ()
Ответ на: комментарий от crypt

Ещё раз, когда этот патч прилетит (в идеале – чуть после), пентестер который его нашел опубликует статью (для поднятия ЧСВ и собственной стоимости на рынке труда). Там ты сможешь прочитать что за уязвимость, и как её залатать если не хочешь/не можешь обновляться. Именно так все нормальные пентестеры и делают. А публиковать уязвимость до того, как все обновились (или хотя бы обновление вышло) – ублюдочное поведение, и бан за такое вполне заслужен, чтобы дальше не могли с университетского адреса засылать троянских коней в релизы.

balsoft ★★ ()
Последнее исправление: balsoft (всего исправлений: 2)
Ответ на: комментарий от mv

Ой, ну все! Пропал калабуховский дом!

ты прям уже, как американец, думаешь) вот, держи выше немного классики. я думаю, что пентестеры молодцы. а что ты там куда-то кого-то не отдашь миру (и мне) совершенно погоды не сделает.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от balsoft

А публиковать уязвимость до того, как все обновились (или хотя бы обновление вышло) – ублюдочное поведен

нееет! это самое правильное поведение! это именно оно сгоняет жир с таких засидевшихся коммерсов типа тебя, которые готовы в суд бежать. только страх заставит вас сделать дополнительное ревью. а у госов самый низкокачественный код как раз по причине: я в суд подам!

crypt ★★★★★ ()
Ответ на: комментарий от balsoft

Замалчивание уязвимостей – проблема, но проблема ортогональная этичности 0-day.

вот мы и решили за раз две проблемы.=) а компания вообще говоря может запретить публикацию и исследование уязвимостей в своем коде. я по крайне мере на территории россии с таким сталкивался

crypt ★★★★★ ()
Ответ на: комментарий от hummer

это наглядная демонстрация того факта, что OSS не более безопасный, чем проприетарный код

Этого какого рода органом ты породил подобную мысль? Потому что мозг тут определённо не участвовал - иначе была бы хоть какая-то логика.

zabbal ★★★★ ()
Ответ на: комментарий от crypt

Я не понимаю причем тут это. Поиск и ответственное разглашение уязвимостей в Linux есть единственный, хоть и дырявый, механизм безопасности. Но обсуждаемый поступок ничего общего с этим не имеет.

balsoft ★★ ()
Ответ на: комментарий от ne-vlezay

я не сразу понял тебя. нет, malicious патч не посылали. а вот с обычными патчами безопасности - все отлично. был отличный доклад про сравнение трех ОС: Linux, FreeBSD и OpenBSD. OpenBSD оперативнее всех отреагировала на патч. там кода-то гораздо меньше.

crypt ★★★★★ ()
Ответ на: комментарий от balsoft

Это по сути социальный эксперимент и проверка компетенции разработчиков. Поступок может этически своеобразный, но показательный, т.к. вот они честно и прямо признались в этом деянии, но как много других правок вносятся для создания чёрных ходов ?

AKonia ()
Ответ на: комментарий от hummer

А если серьёзно, то это наглядная демонстрация того факта, что OSS не более безопасный, чем проприетарный код.

Нет, более безопасный и причин тут две:

  1. за каждый патч отвечает конкретная персона: автор патча или тот кто его подтвердил, ответственность у проприетарщиков размазана на всё юрлицо.
  2. Множество внедрённых бекдоров на конкретной системе могут оказываться вне игры после отключения входе перекомпиляции ядрва неиспользуемых модулей и функционала, чего нельзя сделать с проприетарным блобом.
torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 1)