LINUX.ORG.RU

Исследователям удалось добавить в ядро Linux уязвимый код

 , ,


4

1

Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.

В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.

>>> Ссылка на исследование

anonymous

Проверено: xaizek ()

Ответ на: комментарий от anonymous

Скриньте, если кто ещё не понял.

Тут сумасшедших пол форума, места на диске не хватит.

anonymous ()
Ответ на: комментарий от beck

Это всё да, но дыры очень часто находят и без исходников.

hateyoufeel ★★★★★ ()
Ответ на: комментарий от anonymous

Тем кому не положить, могут коммитить без упоминания университета. Механизмов заэнфорсить запрет (предполагая, что это вообще имеет какой-то смысл) просто нет.

Исправления более менее значительных ошибок даже лучше с упоминанием. Ведь, права авторства никто не отменял - убрать автора нельзя, а не принять тоже нельзя. Именно поэтому объявление бана вместо ввода какого-нибудь дополнительного контроля/карантина для открыто разрабатываемого ПО как-то абсурдно.

gag ★★★★★ ()
Ответ на: комментарий от anonymous

вообще-то исходники винды дают по запросу.

вообще-то дают.

вообще-то текст был о том, что совершенно неважно как там мне выдали исходники, даром и сразу или потом и под NDA. если ты вдруг не понял.

а гарантии получает тот, кто за эти гарантии платит.

страховая застрахует возможные убытки только если кто-то (с хорошей репутацией) проведет экспертизу и поставит свою подпись.

бесплатно ни страховщики, ни эксперты не работают.

а так-то да, можно пользоваться софтом и без гарантий. и он даже работает.

в чем открытие-то я хочу понять? отдебаженый и отревьюеный код это еще не значит код безопасный? внезапно нужен еще какой-то специальный аудит? который может стоить заметных денег?

или штовапще тут всех так взволновало?

а так-то эти пентестеры удаки, конечно. сунули, вынули, радостно дождались пока их говнецо попадет в стейбл и прокукарекали на весь белый свет. ничего не упустил?

ладно, ядро и разрабы которые там ковыряют, ты их не любишь и не уважаешь, и хочешь потыкать носом в неприятное. а юзеры тут причем? это же к ним эти дыры попали. ты их этим чему-то научил, от чего-то спас?

крч типичные такие микроцефальные хайпоеды тиктокерные, «ля как я насрал под дверь соседу а он потом вляпался, бгг».

тут должна была быть простыня из " куда катицо мир" и все такое, но мне лень.

olelookoe ()
Ответ на: комментарий от olelookoe

ничего не упустил?

Упустил.

  1. Сколько ещё таких дыр насовано с самого, так сказать, начала разработки.
  2. Безопасность линукса - миф.
  3. Процесс разработки линукса… как бы это помягче… оставляет желать лучшего.
beck ★★ ()
Ответ на: комментарий от hummer

Никакой ответственности, всё AS IS.

На самом деле - не всё так просто. Причём, сложность ещё в том, что ответственность зависит от страны, где произошёл случай. Поэтому если тебе не повезло, и от какого-то твоего патча в какое-то ПО возникали более менее ощутимые проблемы, то перед поездкой в отпуск в какую-то другую страну, где ты не исключаешь, что применяют это ПО, стоит поинтересоваться тамошними законами.

GPLv2:

  1. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW
  2. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR
gag ★★★★★ ()
Ответ на: комментарий от beck

Сколько ещё таких дыр насовано с самого, так сказать, начала разработки.

много, барин, ой много. ждет тебя тоска-печаль и бубновые хлопоты. позолоти ручку, барин, всю правду скажу,ничего не утаю. ( вбегают медведи, бабы в цветастых юбках трясут грудями бьют в бубен, все танцуют)

Безопасность линукса - миф.

а небо голубое и трава зеленая. а еще «железная дверь в квартиру, где деньги лежат, отличная защита от грабителей» - тоже миф. чо сказать-то хотел?

Процесс разработки линукса… как бы это помягче… оставляет желать лучшего.

процесс разработки ваще огонь. все разрабатывается и даже работает.

olelookoe ()
Ответ на: комментарий от Vsevolod-linuxoid

И какую-же проблему они показали? Проблема была бы если бы им удалось протащить коммиты в ядро. А так их идентифицировали и не пропустили. Проблемы нет.

rupert ★★★★★ ()
Ответ на: комментарий от seiken

ну разное ПО бывает в природе, раз-но-е. и меры безопасности аудитом не ограничиваются. всяких аспектов безопасности примерно овердофига, и вектор атаки - это в основном не про то, как локальный рут на кали линукс получить.

супербезопасное и мегадоверенное ядро ни одной проблемы безопасности не решает. от ядра в основном требуется умение фигачить, без крупных косяков. с чем, собсно, оно неплохо справляется.

olelookoe ()
Ответ на: комментарий от rupert

Проблемы нет.

что значит нет? проблема есть. и они её показали. проблема так и называется «On the Feasibility of Stealthily IntroducingVulnerabilities in Open-Source Software via Hypocrite Commits». если не знаете английского - «О возможности скрытого внедрения уязвимостей в Open-Source программное обеспечение».

не пропустили

о госпаде… не пропустили не потому, что что-то там заметили, а потому что исследователи сами об этом сообщили. то бишь исследование прошло удачно - им бы удалось протроянить, ЗАХОТЕВ ОНИ СДЕЛАТЬ ЭТО, УМОЛЧАВ ОБ ЭТОМ. но они ведь исследователи, а не преступники. поэтому они даже задокументировали свои действия.

для кого написано исследование? чего не читаем?

https://raw.githubusercontent.com/QiushiWu/qiushiwu.github.io/main/papers/OpenSourceInsecurity.pdf

anonymous ()
Ответ на: комментарий от anonymous

Причём тут «неэтично и вредоносно»? Люди из универсистета совсем про другое исследование проводили. Они проверили безопасность «небезопасного» OSS.

Угу. Причем проверили на «проде».

Как-то так: http://img1.joyreactor.com/pics/post/comics-dilbert-risk-egg-587919.gif

X-Pilot ★★★★★ ()

чукча все пять страниц не читал, но ему кажется, что вина лежит, скорее, на мейнтейнерах «первой линии» - не фиг всякую лажу в ядро пропускать

metawishmaster ★★★★ ()
Последнее исправление: metawishmaster (всего исправлений: 1)
Ответ на: комментарий от rupert

Проблема была бы если бы им удалось протащить коммиты в ядро. А так их идентифицировали и не пропустили. Проблемы нет.

Есть. Вы читать и осознавать прочитанный текст не можете. Либо новость не читали в принципе.

anonymous ()
Ответ на: комментарий от hummer

Когда штаты далеко, может показаться, что что-то происходит в интернете. Но в любом случае я не о разборках, а о потенциальных случаях нанесения ущерба хостерам, предприятиям, пользователям.

gag ★★★★★ ()

Мда, доверяй, но проверяй. Если такие проверяльщики стоят на страже безопасности ядра, то что можно говорить о безопасности ядра в принципе. Все эти сертификаты и прочие бумажки - филькины грамоты. Гослинуксы и так васянские поделки, а тут ещё и ядро в дырках. Для проверки придется перелопатить весь код ядра, а это нереально.

anonymous ()
Ответ на: комментарий от olelookoe

удивительное соотношение объема поста (почти экран) и смысловой нагрузки (ее нет).

я так не умею

anonymous ()
Ответ на: комментарий от torvn77

То что проделали авторы патча более менее терпимо за исключением одного: они сразу опубликовали полную информацию о уязвимости, вместо того чтобы о ней объявить в закрытой секурити расслыке ядра.

О какой уязвимости они опубликовали полную информацию? В ихней публикации нет информации об уязвимостях. Там — обзор разных неочевидных багфиксов.

В смысле, они нашли несколько старых фиксов, и объяснили, почему эти фиксы фиксят баги, и почему эти баги были не очевидны.

anonymous ()
Ответ на: комментарий от anonymous

Вангую исход будет прямо противоположным тому, который ты предсказал. Исследование эпохальное, будет цитироваться ещё много лет. Рост цитируемости, в свою очередь, университету только на пользу.

Разве что, балетно-тракторному институту имени Будёного, про который раньше вообще не слышали. В нормальном будут хихикать и пальцем показывать.

mv ★★★★★ ()
Ответ на: комментарий от anonymous

не пропустили не потому, что что-то там заметили, а потому что исследователи сами об этом сообщили

Где сообщили-то?

Попробуй-ка найти линк на это их сообщение.

Мне пока удалось найти линки только на то, как разрабы ядра заворачивали их патчи один за другим. А потом и вот то исследование нашли.

anonymous ()
Ответ на: комментарий от beck

Исследование эпохальное, будет цитироваться ещё много лет.

Согласен.

Ага, уже цитируют.

Leadership in the University of Minnesota Department of Computer Science & Engineering learned today about the details of research being conducted by one of its faculty members and graduate students into the security of the Linux Kernel. The research method used raised serious concerns in the Linux Kernel community and, as of today, this has resulted in the University being banned from contributing to the Linux Kernel.

We take this situation extremely seriously. We have immediately suspended this line of research. We will investigate the research method and the process by which this research method was approved, determine appropriate remedial action, and safeguard against future issues, if needed. We will report our findings back to the community as soon as practical.

П-расов публично выпорят и выгонят, эту публикацию отзовут совсем, остальные от этих авторов отзовут для проверки. Вот примерно как оно закончится в академическом плане.

mv ★★★★★ ()
Ответ на: комментарий от balsoft

По утверждению Леона Романовски, как минимум один из этих потенциально вредоносных патчей попал в stable.

https://lore.kernel.org/linux-nfs/YIAta3cRl8mk/RkH@unreal/

Коммит 8e949363f017 («net: mlx5: Add a missing check on idr_find, free buf»)

Это не их патч.

Их патч: https://www.lkml.org/lkml/2019/3/19/582

https://github.com/torvalds/linux/commit/8e949363f017 — это, судя по автору коммита, результат творчества товарища Saeed Mahameed из Mellanox-а.

Потом ему, видимо, Eric Dumazet написал, что так нельзя, и товарищ Saeed Mahameed исправил это следующим коммитом: https://github.com/torvalds/linux/commit/31634bf5dc

anonymous ()
Ответ на: комментарий от mv

Пока что выпороли только команды ядрышка. А авторы добропатча без высокооплачиваемой работы уж точно не останутся.

anonymous ()
Ответ на: комментарий от mv

В нормальном будут хихикать и пальцем показывать.

Ты какие-то свои комплексы показываешь. У человека, для которого это в жизни всего лишь внешнее событие, это таких реакций не вызывает. И нет, никакого «хихиканья» не будет.

anonymous ()
Ответ на: комментарий от rupert

И какую-же проблему они показали?

в кадрах. Занесу-ка я тебя в игнор, что-то от тебя один тупняк.

anonymous ()

Лапчатые, попка не очень болит? Мы тут переживаем.

anonymous ()

Кстати, лапчатые, это вы еще многие не знаете, что трояны пишут на JS )))) Ну вот теперь знаете. ;)))

anonymous ()
Ответ на: комментарий от metawishmaster

там получается вышло так: сначала один китайский студент под руководством китайского phd провел вот этот эксперимент и написал pdf.

куда попали патчи, вернули их и почему никто об этом не знал, мнения расходятся. китайцы говорят, что все было честь по чести. Грег вроде бы знал. но почему тогда устроил большой откат патчей потом?

проблему вызвало то, что спустя 2 месяца все еще приходили кривые патчи. от имени другой студента индуса. который никакого исследования не писал. вот это Грег уже конкретно не понял и вся эта история всплыла в новостях.

crypt ★★★★★ ()
Ответ на: комментарий от anonymous

Лапчатые абидились, что их аккуратненько и демонстративно поимели в жопочку :(

Узбагойся. Никто никого не поимел.

Вообще ничего не произошло.

Чуваки из университета UMN присылали в ядро кривые патчи. Их заворачивал. Один завернули, другой, третий...

После очередного кривого патча Greg KH психанул, и решил забанить весь универ, чтобы они не отнимали их время. А заодно перепроверить имеющиеся патчи, на случай если там ещё что-то кривое пропустили.

Вот и всё.

anonymous ()
Ответ на: комментарий от anonymous

Да мне без разницы, поимели или нет :-) Мое сообщения - отчасти троллинг отчасти реакция на столь агрессивное поведение mv.

anonymous ()
Ответ на: комментарий от anonymous

После очередного кривого патча Greg KH психанул, и решил забанить весь универ, чтобы они не отнимали их время.

у тебя интересная и убогая интерепретация событий… KH психанул только тогда, когда прочитал исследование и соотнёс это с присылаемыми патчами.. то бишь суть в том, что весь процесс строился не на скрупулёзном анализе кода, а не беспочвенном доверии то ли за красивые глазки, то ли ещё за что… они поняли что происходит только на четвёртом патче, да и то только тогда, когда в рассылке (!) скинули ссылку на этот пдф… в противном случае они бы сразу не принимали ничего от этих ребят из универа, которые проводят исследование, логично же? в итоге начали строить из себя обиженок, зачем-то подняв вопрос об неэтичности… хотя суть совсем не в этом…

Узбагойся. Никто никого не поимел. Вообще ничего не произошло.

согласен. в произошедшем нет ничего такого. за страшными словами «разработка ядра» может скрываться довольно примитивная культура разработки и мягко говоря сомнительный контроль качества кода.

по сути эти чуваки произвели своего рода пентест изнутри.

anonymous ()
Ответ на: комментарий от anonymous

Только вот Aditya Pakki присылал другой патч.

Ты вообще понимаешь, о чём речь-то? Он указатель, защищённый rcu, использует вне rcu. И это сразу так было в первом патче.

mv ★★★★★ ()
Ответ на: комментарий от anonymous

Мое сообщения - отчасти троллинг отчасти реакция на столь агрессивное поведение mv.

Тролль лучше, мне скучно.

mv ★★★★★ ()
Ответ на: комментарий от crutch_master

Что-то одни пишут, что всё пустили в прод, другие, что всё завернули. Ъ не понятно.

Ъ: был такой университет в TOP-50, UMN звался. Проблемы не столько в ядре, где мантейнер пропустил злокозненные патчи (т.к. до этого было принято, что джентельмены не обманывают), а в университете, где такой беспредел допустили.

mv ★★★★★ ()
Ответ на: комментарий от mv

Ты вообще понимаешь, о чём речь-то? Он указатель, защищённый rcu, использует вне rcu. И это сразу так было в первом патче.

И до его патча этот указатель точно так же использовался.

То есть патч не добавлял новых багов. Просто фиксил НЕ ВСЕ существующие.

anonymous ()
Ответ на: комментарий от anonymous

И до его патча этот указатель точно так же использовался. То есть патч не добавлял новых багов. Просто фиксил НЕ ВСЕ существующие.

Ну тогда Boris Pismenny, который mlx5_fpga_tls_resync_rx изначально написал - невнимательный баклан.

mv ★★★★★ ()
Ответ на: комментарий от anonymous

KH психанул только тогда, когда прочитал исследование и соотнёс это с присылаемыми патчами..

Ну да.

то бишь суть в том, что весь процесс строился не на скрупулёзном анализе кода, а не беспочвенном доверии то ли за красивые глазки, то ли ещё за что…

Небыло никакого доверия. Поэтому куча других патчей от этих же UMN-овцев была реджектнута.

они поняли что происходит только на четвёртом патче, да и то только тогда, когда в рассылке (!) скинули ссылку на этот пдф…

Нет, это юзеры с ЛОРа поняли что происходит только когда кто-то из кернел-девелоперов скинул в рассылку этот pdf.

А девелоперы и до этого несколько лет реджектили патчи того же Aditya. Потому что бажный говнокод.

И патчей этих было далеко не четыре. Он за столько лет порядка сотни патчей наговнокодил.

в противном случае они бы сразу не принимали ничего от этих ребят из универа, которые проводят исследование, логично же?

Нет. Пока они не знали про исследование — они честно ревьювили и реджектили патчи. Либо допиливали их до юзабельного вида. А когда узнали — офигели от такой наглости и решили забанить весь универ. Логично же?

anonymous ()
Ответ на: комментарий от crutch_master

Ъ не понятно

в коре-тим линукс обдедались, теперь пытаются состроить хорошую мину при плохой игре, акцентируя внимание-де на том, что ой-какие-какие-плохие-плохие ребята из университета, подвели их с доверием. хех, как будто код принимается на веру или добром слове? хотя факт остался зафиксирован -

https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/

так, адвокаты в суде, зная, что подсудимый убил человек, пытаются выиграть какие-то очки и выторговать у судьи благосклонность.

отсюда и замазывание истинных причин в прессе со стороны кернел-тим. вместо того, чтобы взять и прочитать исследование вопроса и сделать выводы -

https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

anonymous ()
Ответ на: комментарий от crutch_master

Что-то одни пишут, что всё пустили в прод, другие, что всё завернули. Ъ не понятно.

Скажем так. Исследование заявляет, что они вроде бы могли что-то добавить.

Но ни на один патч который «смог», ссылку пока не дали.

Из-за чего паника — пока не ясно.

anonymous ()
Ответ на: комментарий от mv

в университете, где такой беспредел допустили.

Что именно означают эти слова? Один профессор подбил на исследование нескольких студентов, а затем комиссия подтвердила, что угрозы от исследования людям нет. Причем, это не it комиссия, там могут и не знать, что такое linux.

Вот и все участие университета.

Такое исследование и я, и вы можем даже и без университета выполнить.

Leupold_cat ★★★★ ()
Последнее исправление: Leupold_cat (всего исправлений: 1)
Ответ на: комментарий от anonymous

Получается, что в исходном коде flow использовали вне rcu лока, но сразу после unlock. Aditya Pakki предложил добавить проверку flow, а мантейнер Saeed Mahameed переработал патч и засунул kzalloc() между получением flow и его использованием. Мантейнер как бы успростил race, а виноват Aditya Pakki?

mky ★★★★★ ()
Ответ на: комментарий от Leupold_cat

Причем, это не it комиссия, там могут и не знать, что такое linux.

Я так и сказал: плакало место в TOP-50. В computer science & engineering раз не знаю, что такое linux.

mv ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.