Исследователям удалось добавить в ядро Linux уязвимый код

Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.

ахаха))) обиделись!)))

По-сути это модульность которую довольно сложно сделать в таком огромном проекте. Вроде бы план9 более-менее справлялся с этим.

Почему-то я думаю

Потому что ни черта об этих самых кругах не знаешь.

Какие версии ядра подвержены патчам?

Чтобы другим не повадно было. Разве нет?

они не просто дыры добавили, но подставили end users раскрыв данные не дав разрабам закрыть дырку.

пострадали не разрабы ведра, а провайдеры, хостеры, предприятия использующие линукс и прочие end userы.

+1))) может, это новость переврали?) Линус такого не допустит!

Какие версии ядра подвержены патчам?

исследование показывает, что отныне любая)

Всего там 273 коммита с упоминанием umn.edu, из них 110, 93 и 43 с упоминанием хотя бы одного из участников текущей драмы. Не знаю, сколько из них пересекается, но можно смело предположить что там очень мало коммитов не от них. Сейчас нет локально полного чекаута Linux, а у гитхаба ужасный интерфейс, так что точнее сказать не могу.

Универ-универ. Я знаю, я тут давно живу. Школа обосралась, через два года в списке сдвинулась ближе к концу, цены на жильё поднялись меньше, чем в окресностях, прибыль недополучена или деньги переплачены, общественные массы негодуют. Амно в учебном заведении всегда за собой тянет изменение в денежных потоках.

Что я прочёл? Какое отношение это имеет к исследованию?

У тебя всё хорошо?

Такие уже есть в обсуждени по второй ссылке.

Я именно это и пишу весь тред, да.

Предыдущие тоже небезопасны.

Метапрог, наверное)

я передавал ночальству слухи, что вот этот вот соискатель на нашу открытую позицию был назвал ПИ-СОМ на линуксовой конфе

А за что именно?

Ревью конечно шерето, но эти ребята тоже неправильно себя ведут. Подобное тестирование нужно либо обсуждать с «руководством» списка рассылки, либо хотя бы сразу же после приема патча сообщать, что он вредоносный. А тут патчи до stable дошли (судя по сообщениям с LKML).

конечно! у нас в стране большинство проверок бесполезны, потому что о них предупредили, кого надо, а те предупредили еще кого надо и т.д.

Думаю в т.н. открытом коде ядра с десятками миллионов строк давно стоят все необходимые прослушки и пр. Каким бы «защищенным» Линуксом вы не пользовались.

Предыдущие тоже небезопасны.

это не доказано!

Бан вполне оправдан.

я чувствую ты какой-то разраб, который бы сам просто перетрусил бы, если бы его софт начали так шерстить)

Тогда приведу аналогию.

Если проверка заключается в незаметном снятии секции забора и срезании запоров на замках, то после успешного тестирования нужно сразу же сообщить руководству о проделанном, а ещё лучше самому всё вернуть как было. Эти же ребята на весь город раструбили, как они успешно протестировали безопасность организации, и что теперь там нет забора и замков.

И смех, и грех.

нужно? кому нужно, чувак? ты реально не в госконторе работаешь? я вот терпеть не могу таких правильных вайт-хатовцев, как ты. я люблю свободных блекхатовцев, как вот эти из универа.

это повредило бы чистоте исследования. в идеале нужно было ждать прежде чем уязвимость не обнаружат.

Ссылка на исследование

Сверстана мудаком.

не доказывает.

Надеюсь, их преподаватель объяснит, что так делать нельзя.

нормально там все.

еще один с указкой из школы пришел:(

Ох, чуваки попали…

Ъ. Ъ никогда не меняются.



A. Ethical Considerations
Ensuring the safety of the experiment. In the experiment, we aim to demonstrate the practicality of stealthily introducing vulnerabilities through hypocrite commits. Our goal is not to introduce vulnerabilities to harm OSS. Therefore, we safely conduct the experiment to make sure that the introduced UAF bugs will not be merged into the actual Linux code. In addition to the minor patches that introduce UAF conditions, we also prepare the correct patches for fi xing the minor issues. We send the minor patches to the Linux community through email to seek their feedback. Fortunately, there is a time window between the confi rmation of a patch and the merging of the patch. Once a maintainer confi rmed our patches, e.g., an email reply indicating “looks good”, we immediately notify the maintainers of the introduced UAF and request them to not go ahead to apply the patch. At the same time, we point out the correct fi xing of the bug and provide our correct patch. In all the three cases, maintainers explicitly acknowledged and confi rmed to not move forward with the incorrect patches. All the UAF-introducing patches stayed only in the email exchanges, without even becoming a Git commit in Linux branches. Therefore, we ensured that none of our introduced UAF bugs was ever merged into any branch of the Linux kernel, and none of the Linux users would be affected.

Regarding potential human research concerns.
This experiment studies issues with the patching process instead of individual behaviors, and we do not collect any personal information. We send the emails to the Linux community and seek their feedback. The experiment is not to blame any maintainers but to reveal issues in the process. The IRB of University of Minnesota reviewed the procedures of the experiment and determined that this is not human research. We obtained a formal IRB-exempt letter. The experiment will not collect any personal data, individual

Если бы мой софт таким образом «прошерстили», я бы в суд подал. Эти ребята нанесли прямой вред сообществу Linux и множеству пользователей, сначала внеся уязвимость в ядро, а потом опубликовав её 0-day (не предупредив мейнтейнеров и не дав времени на откат патчей из релизов). То, что они сделали это с целью опубликовать статью – никак их не оправдывает.

Весна, каникулы да гормоны шалят. Ты не злись на них

безопасноснее оно от этого не станет.

Если бы мой софт таким образом «прошерстили», я бы в суд подал.

тебе просто слабо признать, что они умнее тебя. хороший софт писать не можешь, вот и защищаешь его через суд. а вот ребятам респект за то, что головой работают. ищут новые подходы. за это хакеров и люблю.

вот это дельное замечание.

+

вносят уязвимости в ядро […] и даже не сообщив предварительно в ядро

Это неправда, данные исследователи вообще не внесли никаких уязвимостей ни в какую ветку ядра (то есть до коммитов не дошло) и заранее уведомили ревьюеров о наличии багов в предлагаемых ими патчах, читайте пояснения к исследованию, раздел «The procedure of the experiment»:

(4) Once any maintainer of the community responds to the email, indicating “looks good”, we immediately point out the introduced bug and request them to not go ahead to apply the patch. At the same time, we point out the correct fixing of the bug and provide our proper patch. In all the three cases, maintainers explicitly acknowledged and confirmed to not move forward with the incorrect patches. This way, we ensure that the incorrect patches will not be adopted or committed into the Git tree of Linux.

We did check different versions of Linux and further confirmed that none of the ​incorrect patches was adopted. To conclude, we ensured that the experiment was done safely, and all the ​incorrect patches stayed only in the email exchanges and will not be merged into or even become a Git commit in any Linux branch.

Расскажи насколько линукс интересен в научных cs кругах?

Блэкхэтовцы должны ответить за нанесенный вред. Или ты людей, которые благотворительные организации грабят, тоже любишь и считаешь кульными блэкхэтами, которые ищут уязвимости в сейфах?

В данном случае бан мне кажется недостаточным наказанием в данном случае, но вот вкупе с всеобщим позором наверное сойдет.

И нет, я не работаю в госконторе и не планирую, я просто Linux пользую и не люблю, когда таким способом злонамеренно добавляют уязвимости на мои машины.

То, что они сделали это с целью опубликовать статью – никак их не оправдывает.

да перед кем им оправдываться-то?) что они плохое-то сделали? твой бы софт так прошерстили и поставили раком китайцы, ты бы потом тоже кулаками махал в суде, когда полмира поимели бы? ты головой-то подумай, что есть твое «правильно» и то, что реально может быть использовано. не по закону.

Надо и в суд подать, и урок вынести, что код стоит проверять лучше.

Почему-то я думаю что в научных кругах занимаются больше всякими алгоритмами, идеями, прототипами а реальные ОС там используют как базу для подобных экспериментов.

Ну, как бы, реальный коммит в ядро - это сейчас много где условие зачёта по курсу. С баном всего заведения коммитить от лица заведения теперь нельзя, что серьёзно сказывается на престиже заведения. А бабки платят именно за престиж.

Так-то, те же знания можно получить и в коммьюнити колледже.

они не ограбили, а наоборот обогатили. это было бы грабежом таких коммерсов, как ты, которые бы потеряли пристиж. за этим и у нас и есть законы. чтобы защищать собственность. а чуваки эти на самом деле выявили проблему. от этого все выиграли. нет тут вреда. только ты дрожишь и говоришь, что это аморально.

Да я и не спорю, что Линукс (и мой софт) шерето, я спорю с методами демонстрации этого.

так ты определись уже хорошо или плохо то, что сделано? за что в суд-то?

Потому было принято решение больше никогда не принимать патчи от людей из этого заведения

Ну, в принципе, а чего? Исследователи хотели посмотреть, как сообщество прореагирует на добавление эксплойтов в ядро. Сообщество прореагировало запретом принимать патчи от всего университета. Естественная реакция была получена.

Я этих студентов, конечно, понимаю, в некотором смысле. Договариваться с Грегом К-Х они не могли (так как он был, собственно, одним из субъектов эксперимента), а с Линусом договариваться было опасно: он бы мог ответить, что доверяет Грегу К-Х и не хочет портить с ним отношения, подвергая его (в числе прочих) пентесту. Однако и реакция со стороны разрабов вполне понятна: аврал с их точки зрения был вполне настоящий, и раскрыли его, как я понимаю, не сами «пентестеры». Они, наоборот, пытались добавить еще один сомнительный патч.

Мы, как лица сторонние, можем делать выводы.

так методы-то как раз правильные.

Надо было и в хроимум патчи предложить, посмотреть, какая там проверка кода, из него же делают самый популярный браузер.

Вангую, приняли бы так же.

Что я прочёл? Какое отношение это имеет к исследованию? У тебя всё хорошо?

Да, это звучит, как с другой планеты, но именно так оно и обстоит по ту (от тебя) сторону океана. Забаненный универ попал на бабки, на недополученную прибыль, а, вместе с ним, и окресности универа.

Модульность тут перпендикулярна проблеме.

Когда у тебя сложная finite state machine, простой code review не эффективен. Человек не робот, его мозг не может удерживать много «сущностей» в фокусе и начинает тихо уменьшать рабочий набор. Причем человек этого не замечает, т.к. он полностью доверяет своей башке. Если сущности представлены текста - переполнение буфера наступает быстрее.

Человек лучше воспринимает графические схемы. В идеале нужно иметь тулз для того, чтоб разбить сишный код на блоки с подписями. Буквально - привязывать строки к блокам на экране. И дальше иметь возможность посмотреть куда выведет кривая дорожка.

С началом эксперимента я не спорю, я спорю со способами ответственного (в данном случае – безответственного) раскрытия его результатов. Если после того, как их патчи попали в stable, они написали бы в security@kernel.org с просьбой откатить патчи, никакого скандала бы и не получилось, их бы поблагодарили. Они же без предупреждения опубликовали статью с детальным описанием этих уязвимостей. Так делать нельзя.