LINUX.ORG.RU

Исследователям удалось добавить в ядро Linux уязвимый код

 , ,


4

1

Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.

В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.

>>> Ссылка на исследование

anonymous

Проверено: xaizek ()

Ответ на: комментарий от AKonia

Я не против подобных экспериментов, я против того, как информация о внесенной уязвимости была раскрыта (не дав разработчикам времени на её исправление и выпуск соответствующих обновлений).

balsoft ★★ ()

было принято решение больше никогда не принимать патчи от людей из этого заведения

Правильно. Молодцы. CoC в действии.

Manhunt ★★★★★ ()
Ответ на: комментарий от balsoft

Поиск и ответственное разглашение уязвимостей в Linux есть единственный, хоть и дырявый, механизм безопасности.

Еще раз: Китайцам это скажи. ты вот даже не можешь назвать, где и что ты разрабатываешь. госзаконы защищают только собственника ПО внутри страны. это типа блокировки роскомнадзора. реальный же вектор атаки другой. твое «ответственное» - это хрень на постном масле, которая дает возможность жирным ленивым разрабам и манагерам прикрыть зад и сохранить лицо. все. для обычных людей никакой пользы в этом нет.

crypt ★★★★★ ()
Ответ на: комментарий от balsoft

Я не против подобных экспериментов, я против того, как информация о внесенной уязвимости была раскрыта (не дав разработчикам времени на её исправление и выпуск соответствующих обновлений).

еще раз. ты против, как разработчик по, который боится последствий.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

твое «ответственное» - это хрень на постном масле, которая дает возможность жирным ленивым разрабам и манагерам прикрыть зад и сохранить лицо. все. для обычных людей никакой пользы в этом нет.

Я как пользователь категорически несогласен. Ответственное разглашение позволяет мне получить обновление с фиксом до того, как уязвимость стала публична (и меня может поиметь любой скрипт-кидди). После этого исследователь, её нашедший, получает свою долю профита, и разрабы получают по заднице за недосмотр (это опционально).

Китайцам это скажи.

Вот Грег и сказал, забанив их.

balsoft ★★ ()
Ответ на: комментарий от balsoft

Ревью конечно шерето

Но сколько людей готовы заслать бекдор от своего личного имени?

С другой стороны было бы такое же беспечное отношение к патчам если бы их засылали от имени анонима из тора?

torvn77 ★★★★★ ()
Ответ на: комментарий от balsoft

Ответственное разглашение позволяет мне получить обновление с фиксом до того, как уязвимость стала публична (и меня может поиметь любой скрипт-кидди).

Еще раз: внесенные проблемы и отсутствие заранее подготовленного эксплойта не позволяют атаку скрипт-кидисов.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

Да, здесь не поспорю: я, как и любой разработчик, боюсь последствий раскрытия дырки в моем софте до того, как я её пофиксил. Но кроме того я как пользователь боюсь последствий раскрытия этой дырки до того, как получил обновление.

Короче, мне надоело спорить. Блэкхэт плохо, вайтхэт хорошо.

balsoft ★★ ()
Ответ на: комментарий от torvn77

Но сколько людей готовы заслать бекдор от своего личного имени?

Учитывая то, что этот бэкдор никто не замечал уже несколько месяцев (и дальше бы не заметил, если бы его не опубликовали) – думаю, довольно много людей с плохими намерениями это уже сделали.

balsoft ★★ ()
Ответ на: комментарий от balsoft

вот и не спорь. я как админ уже много лет на все это смотрю и могу сказать, что пользователю вообще плевать. единственный, кто эту жижу шевелит - это блекхатовец.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от balsoft

это не бекдор, как я понимаю. а proof-of-concept

crypt ★★★★★ ()
Ответ на: комментарий от ne-vlezay

А попробуйте разработчикам OpenBSD прислать патч.

иронично, что добавление говно-впн модуля во FreeBSD как раз недавно обсуждали. вскрылось ведь тоже после чьей-то индивидуальной инициативы.

crypt ★★★★★ ()
Ответ на: комментарий от balsoft

Учитывая то, что этот бэкдор никто не замечал уже несколько месяцев (и дальше бы не заметил, если бы его не опубликовали)

Но однажды бы ведь заметили и что тогда,будет заславшему заведомый бекдор большим утешением эта отсрочка?

torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от balsoft

как минимум один из этих потенциально вредоносных патчей попал в stable.

А кто сказал, что он - потенциально вредоносный? Это не «вредоносные» патчи, а патчи вообще от всей группы из универа, которые решили откатить. Вредоносные патчи до стейбла не дошли.

Конкретно этот seems legit:

+	if (!flow) {
+		WARN_ONCE(1, "Received NULL pointer for handle\n");
+		return -EINVAL;
+	}
...
+	if (ret < 0)
+		kfree(buf);
LamerOk ★★★★★ ()
Последнее исправление: LamerOk (всего исправлений: 1)
Ответ на: комментарий от torvn77

Ну если заславший бэкдор продал его за пару миллионов баксов и уже свалил в теплые края лежать на пляже – да, отсрочка вполне себе утешение.

balsoft ★★ ()
Ответ на: комментарий от balsoft

на самом деле с точки зрения разработчика это писец нерешаемая проблема. растущая кодовая база на С неизбежно приводит к багам. и не существует совершенной процедуры по их отлову. все эти review, тесты и т.д. и т.п. несовершенны. в какой-то момент должен быть подключен AI.

crypt ★★★★★ ()
Ответ на: комментарий от balsoft

как эти ребята – внесли уязвимость, а потом опубликовали её 0-day.

Зачем ты врёшь? Ты - журналист и тебя изнасиловала новость с лора?

LamerOk ★★★★★ ()
Ответ на: комментарий от LamerOk

Если я правильно читаю сообщения, то этот патч называется частью «this effort», т.е. этого эксперимента. И да, все патчи в этом эксперименте seem legit, но на самом деле добавляют UAF/DF. Смотри whitepaper для остальных деталей.

balsoft ★★ ()

Два китайкоамериканца разместили четыре уязвимости. А что, если таких китайцев десятки.

One ★★★★★ ()
Ответ на: комментарий от balsoft

и еще я смотрю сабжевый pdf - там есть секция safety, где утверждается, что они подготовили исправление своих багов, а сами баги не должны были успеть попасть в git... хз

crypt ★★★★★ ()
Ответ на: комментарий от One

вот-вот. благодаря им мы все теперь об этом задумаемся. настолько ли уж безопасен наш линукс.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

не должны были успеть попасть в git

Не в гит, в гит-то они, само собой, попали. А к конченным пользователям ведра.

LamerOk ★★★★★ ()
Ответ на: комментарий от LamerOk

конченным пользователям

Согласен полностью

anonymous ()
Ответ на: комментарий от LamerOk

Я прочитал whitepaper и прочитал обсуждение на LKML, где один из мейнтейнеров ядра Leon Romanovsky утверждает что как минимум один из коммитов в этом эксперименте попал в stable, и GregKH утверждает, что патчи были вмержены и не откачены. Если это не так, то тогда беру свои слова обратно.

balsoft ★★ ()
Ответ на: комментарий от balsoft

Там же не IT-специалисты в основном заседают. Их прежде всего беспокоит возможный ущерб здоровью или жизни людей, а также социальные и юридические последствия. Скорей всего, реакция Linux-сообщества им глубоко безразлична. Возможно, они в большинстве своем даже и не в курсе, что это такое.

Leupold_cat ★★★★ ()
Последнее исправление: Leupold_cat (всего исправлений: 5)
Ответ на: комментарий от balsoft

я не могу скопировать. действительно, плохо сверстан pdf. там так написано, а как вышло утверждать не берусь.

crypt ★★★★★ ()
Ответ на: комментарий от xDShot

Сверстана мудаком.

беру свои предыдущие слова назад. сверстан хренова.

crypt ★★★★★ ()

Решето как оно есть… ДЫРЯВОЕ РЕШЕТО!

anonymous ()
Ответ на: комментарий от balsoft

Я прочитал

Видимо, жопой, так как и в статье, и в ветке обсуждения английским в ASCII сказано, что кроме вредоносных коммитов были запушены и совершенно валидные. Причём, вредоносные были исправлены самими авторами же после прохождения ревью.

Просто у Г-Х-К бомбануло, и он решил отревертить всё и сразу, а не вышло.

LamerOk ★★★★★ ()
Ответ на: комментарий от crypt

Если бы было сделано как там написано, то у меня тоже не было бы претензий. Но судя по словам мейнтейнеров, сделано было совсем не так. Хотя сейчас я подумал и возможно мейнтейнеры действительно обиделись/испугались и врут с целью очернить исследователей…

balsoft ★★ ()
Ответ на: комментарий от LamerOk

Ещё раз перечитай моё сообщение, на которое ты в первый раз ответил. Leon Romanovsky утверждает, что этот коммит – один из «this effort», и он действительно в stable.

balsoft ★★ ()
Ответ на: комментарий от balsoft

Ты - тугой.

кроме вредоносных коммитов были запушены и совершенно валидные

this effort = все коммиты, включая не вредоносные

LamerOk ★★★★★ ()
Ответ на: комментарий от LamerOk

Ты перечитай ещё раз ветку.

> For what it's worth, they do address security, IRB, and maintainer-time
> questions in "Ethical Considerations", starting on p. 8:
> 
> 	https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
> 
> (Summary: in that experiment, they claim actual fixes were sent before
> the original (incorrect) patches had a chance to be committed; that
> their IRB reviewed the plan and determined it was not human research;
> and that patches were all small and (after correction) fixed real (if
> minor) bugs.)
> 
> This effort doesn't appear to be following similar protocols, if Leon
> Romanvosky and Aditya Pakki are correct that security holes have already
> reached stable.

Aditya Pakki is the one who is sending those patches.

If you want to see another accepted patch that is already part of
stable@, you are invited to take a look on this patch that has "built-in bug":
8e949363f017 ("net: mlx5: Add a missing check on idr_find, free buf")

Не могу гарантировать, что Leon Romanovsky не врет, но если читать его слова, то получается что обсуждаемый патч вредоносный.

balsoft ★★ ()
Ответ на: комментарий от vitalif

в их пдф написано, что они были готовы мгновенно предоставить патчи для отката, как только появится письмо об одобрении патчей.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от balsoft

то получается что обсуждаемый патч вредоносный.

Покажи, где вредоносный конкретно этот коммит.

Ты тупишь.

LamerOk ★★★★★ ()
Ответ на: комментарий от vitalif

вот этого не знаю.:( спать уже хочу, нет сил вникать. я сюда чисто защитить блекхатовцев зашел. пусть кто-нибудь за меня все остальное довыяснит.

crypt ★★★★★ ()
Ответ на: комментарий от LamerOk

В данном случае мне сложно сказать, почему тот коммит может быть вредоносным. На мой неискушенный взгляд выглядит нормально, но из контекста сообщений можно сделать вывод, что его считают вредоносным.

balsoft ★★ ()
Ответ на: комментарий от One

не, патчи эти предоставлялись под видом фикса проблемы, но они не фиксили проблему на самом деле, а добавляли еще одну. соответственно, правильный патч делает все правильно.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

Нет, они фиксят одну проблему и вносят новую, более серьезную. В whitepaper как раз явно описаны эти hypocrite commits:

We define a hypocrite commit as one that submits a small patch to fix a minor issue, <…>. However, it actually introduces the remaining conditions of an immature vulnerability, resulting in a much more critical issue <…>

balsoft ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.