[新聞] 把漏洞導入Linux核心來作實驗,Linux大

看板 Gossiping
作者
時間
留言 75則留言,61人參與討論
推噓 48 ( 52推 4噓 19→ )
討論串 7
【新聞網址】:https://www.ithome.com.tw/news/143992 【縮網址】:https://bit.ly/2QoX6cq 【記者】:陳曉莉,2021年4月22日 一群明尼蘇達大學(UMN)的研究人員,以進行研究的名義,貢獻含有臭蟲的修補程式至Lin ux核心,引發社群反彈 有一群來自明尼蘇達大學(University of Minnesota,UMN)的研究人員,藉由貢獻修補程 式至Linux核心的名義,實則利用修補程式導入臭蟲或漏洞,以觀察Linux核心社群的反應, 近日再度故技重施時,遭到Linux大佬Greg Kroah-Hartman斥責,Greg Kroah-Hartman不僅 封鎖了所有來自該大學的貢獻,還移除了過去該大學曾經貢獻的程式碼。 https://twitter.com/gregkh/status/1384785747874656257?s=19 Kroah-Hartman寫了一封措辭嚴厲的電子郵件予該群研究人員,指出他們過去即曾公開坦承 送出含有許多臭蟲的修補程式至Linux核心社群,以測試社群的反應,還以此發表了論文, 這次他們再度提交了一系列明顯錯誤的修補程式,這些程式並沒有修補任何東西,使得他假 設Linux社群再度淪為實驗對象。 Kroah-Hartman指出,該群研究人員並未要求社群的協助,反而是在知道這是個實驗的狀態 下,宣稱該修補是合法的,然而,Linux核心社群的任務並非是成為別人的測試對象,他們 歡迎開發人員協助強化Linux,但這些研究人員的所作所為並非如此。 惹毛Kroah-Hartman的研究,應是明尼蘇達大學在今年2月所出版的「開源碼的不安全性:偽 君子偷偷導入了漏洞」(Open Source Insecurity: Stealthily Introducing Vulnerabili ties via Hypocrite Commits)報告,這群研究人員利用貢獻程式碼(修補程式)至Linux 核心社群的機會,在程式碼中夾帶了臭蟲與潛在的安全漏洞,成功於Linux核心中引進了釋 放後使用(Use After Free)漏洞,並提出了緩解相關問題的解決方案。 Kroah-Hartman說,Linux核心社群並不歡迎這種實驗,也不願接受提交無用修補程式的測試 ,決定從今以後封鎖所有來自明尼蘇達大學的貢獻,也會移除該大學過去的貢獻。 在遭到Kroah-Hartman猛烈的批評之後,明尼蘇達大學電腦科學暨工程學院的負責人Mats He imdahl很快就發表了聲明,表示他們非常重視此一事件,也立即停止這類的研究,將進一步 調查此一研究方法,以及該研究方法被核准的過程,以期採取適當的補救措施,也會在調查 結果出爐後,儘快將報告提交給Linux核心社群。 --
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.34.39 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1619124266.A.135.html
1FEugeneSue: 幹你娘UMN那群自私的人渣全都該死 04/23 04:46
2Fs9623452: 不就是個天堂外掛輔助程式 04/23 04:47
3Frichjf: 很像某黨派人去協助時力一樣 時間一到就各種漏洞後門 04/23 04:47
4FEricz7000: 87 = = 04/23 04:50
5FC13H16ClNO: ubuntu更新有夠頻繁的是不是該找它們算帳 04/23 04:51
6Fmylo: 台灣太自由 Linux太開放 CCC 04/23 04:55
7Farrenwu: 操她媽的這群垃圾 04/23 04:58
8Farrenwu: 不過這確實反映一個問題就是了 04/23 05:01
9Fdoomhammer: 壓力測試.... 04/23 05:07
10Famos30627: 如果事先告知呢 不然這是好問題 要是有人故意放臭蟲 被 04/23 05:24
11Famos30627: 釋出怎辦 04/23 05:24
12Famos30627: 不過這樣搞整個社群都受害 真的是很嚴重 04/23 05:25
13Flucifiel1618: 真的有病= =想出名想瘋了484 04/23 05:32
14FCYCUTalker: ........ 04/23 05:45
15Fkerorobear: 其實就是想要人家免費幫忙修補漏洞啦 04/23 05:47
16Fwario2014: 美國垃圾學店 04/23 07:04
17Fchenweichih: 測試這種東西 怎麼會是電腦工程科系做的實驗阿? 04/23 07:06
18Fnow99: 確實要有機制檢核任何貢獻的程式碼是沒漏洞的,真的有心人 04/23 07:10
19Fnow99: 士來一次大條全掛吧 04/23 07:10
20Fweltschmerz: 哈哈 直接被封殺 04/23 07:10
21Fabram: 中國的貢獻沒有後門嗎 04/23 07:11
22FShawn5689: 當Code Review是北七嗎 04/23 07:36
23Fa0952864901: 被Ban了吧 有夠自私 04/23 07:36
24Farrenwu: 實際上 UMN Code Review 就是證實了Code Review確實北七 04/23 07:39
25Farrenwu: 只是我覺得大家review的時候通常是驗證邏輯上的正確性 04/23 07:40
26Fdonation12: 其實這應該可以提告,而且違反學術倫理,非常嚴重 04/23 07:41
27Fdonation12: 基本上,不能在未充分告知風險的前提下進行這種實驗 04/23 07:42
28Fdonation12: 因為未充分揭露風險將導致使用者承擔各種可能損失 04/23 07:43
29Faja1008: 很像某些民眾組黨想合作,隨後變色說那個已經沒有用了一 04/23 07:49
30Faja1008: 樣噁爛! 04/23 07:50
31FPRME: 野雞大學 04/23 07:52
32FOforU: 這跟open source無關啊 非開源軟體的員工 也可以故意在程 04/23 08:06
33FOforU: 式放入漏洞 只要有心非開源更難抓 04/23 08:06
34FGbmanOGC: 我倒覺得,說要台獨然後迴避當兵比較噁爛 04/23 08:06
35Fu9005205: 所以資工沒工程倫理這門課嗎? 04/23 08:18
36Fsimata: 垃圾大學 04/23 08:19
37Fdevilsky: 幹你娘咧 答應要給你們做研究了 04/23 08:25
38FDIDIMIN: 這違反學術論理了吧 04/23 08:27
39Fmynewid: 垃圾 04/23 09:15
40Fjetalpha: 這跟共產主義滲透一般國家社會的做法一樣啊。 04/23 09:16
41Featyourshit: 時代力量: 乾拎量... 04/23 09:42
42Fzeolas: 不過這也代表做研究的人說的沒錯阿,這種開源的東西如果有 04/23 09:46
43Fzeolas: 心人加點料你還真的看不出來 04/23 09:46
44Fdnek: 又是以社會實驗為名的智障研究 04/23 09:53
45Fsted0101: 時代力量表示: 04/23 09:56
46Featyourshit: 綠共對時力真的是滿滿的惡意 04/23 10:02
47Fweepingkito: ptt也yahoo化了,什麼文有人都能扯去政治 04/23 10:26
48Finokuma: 五 毛 軍,任 務 出 動 04/23 11:58
49Fgoldie: 追求安全性都來不及了,還來亂,一點學術倫理也沒有 04/23 12:34
50Fgoldie: 浪費開發者資源、影響全球,有夠垃圾 04/23 12:34
51Fmodulation: 垃圾大學 04/23 12:43
52FAminLA: 八卦是研究教授跟博士生是華裔 04/23 12:57
53Fjen1121: 白痴殺小 04/23 13:30
54Fdrcula: 這不是要別人幫忙修補漏洞,這是利用了學術研究的身份, 04/23 13:34
55Fdrcula: 利用可以修改核心程式的權限,惡意灌入漏洞和bugs 04/23 13:34
56FGinpunch: 支那人針對美國社群的社會實驗 04/23 13:38
57Fsummerleaves: 不就利用別人善意 說自己真的可以做惡 被Ban剛好 04/23 13:47
58FSiika: 人家不是你的實驗場啊 這樣做真的是消費別人的熱心 04/23 14:26
59Fpjason: 支那人真的不要怪人家歧視你們 因為你們真的很劣等 04/23 14:40
60FDovahkiin: 04/23 14:43
61Fxoy232: 真的是垃圾 如果釋出給大家用了 大家一起死 04/23 15:02
62Foryzae: 你是不是想召喚jserv大? 04/23 15:27
63Fwahaha99: 這真的智障到有剩了 04/23 15:27
64Fohoohoo: 研究名稱取的很好,偽君子 04/23 15:31
65Fdenyy555: 惡意玩弄自由軟體的善良,把整個 UMN 網域ban掉也合理 04/23 15:42
66Feasych: 中國人不意外 04/23 15:51
67Fnorder: 為了寫論文,設計這種坑人手段,這有沒有違反學術倫理啊? 04/23 16:53
68Fjahfone: @jserv 老師這有沒有掛 04/23 17:18
69Flimitlesscit: 這些研究生可以終身不准碰電腦嗎 04/23 18:17
70Fce173310: 沒bug可以拿來寫論文,就自己埋再修是什麼鬼 04/23 19:15
71Fgameguy: 故意放漏洞進去,這哪招? 04/23 20:34
72FLeafLu: the 自導自演 Errr 04/23 20:38
73Fleftless: 之前ptt也有一群台大臭母豬發引戰文研究鄉民反應 04/23 21:25
74Fab4daa: 智障嗎..自己寫垃圾論文就算了 還想把垃圾code塞給別人 04/23 23:46
75Flieney: 浪費開發者資源, 真的白目 04/24 01:32

完整討論串

八卦 看板熱門文章

20
116
12
40