[新聞] 把漏洞導入Linux核心來作實驗,Linux大

看板Gossiping作者 (耗呆肥羊)時間2年前 (2021/04/23 04:44), 編輯推噓48(52419)
留言75則, 61人參與, 2年前最新討論串1/7 (看更多)
【新聞網址】:https://www.ithome.com.tw/news/143992 【縮網址】:https://bit.ly/2QoX6cq 【記者】:陳曉莉,2021年4月22日 一群明尼蘇達大學(UMN)的研究人員,以進行研究的名義,貢獻含有臭蟲的修補程式至Lin ux核心,引發社群反彈 有一群來自明尼蘇達大學(University of Minnesota,UMN)的研究人員,藉由貢獻修補程 式至Linux核心的名義,實則利用修補程式導入臭蟲或漏洞,以觀察Linux核心社群的反應, 近日再度故技重施時,遭到Linux大佬Greg Kroah-Hartman斥責,Greg Kroah-Hartman不僅 封鎖了所有來自該大學的貢獻,還移除了過去該大學曾經貢獻的程式碼。 https://twitter.com/gregkh/status/1384785747874656257?s=19 Kroah-Hartman寫了一封措辭嚴厲的電子郵件予該群研究人員,指出他們過去即曾公開坦承 送出含有許多臭蟲的修補程式至Linux核心社群,以測試社群的反應,還以此發表了論文, 這次他們再度提交了一系列明顯錯誤的修補程式,這些程式並沒有修補任何東西,使得他假 設Linux社群再度淪為實驗對象。 Kroah-Hartman指出,該群研究人員並未要求社群的協助,反而是在知道這是個實驗的狀態 下,宣稱該修補是合法的,然而,Linux核心社群的任務並非是成為別人的測試對象,他們 歡迎開發人員協助強化Linux,但這些研究人員的所作所為並非如此。 惹毛Kroah-Hartman的研究,應是明尼蘇達大學在今年2月所出版的「開源碼的不安全性:偽 君子偷偷導入了漏洞」(Open Source Insecurity: Stealthily Introducing Vulnerabili ties via Hypocrite Commits)報告,這群研究人員利用貢獻程式碼(修補程式)至Linux 核心社群的機會,在程式碼中夾帶了臭蟲與潛在的安全漏洞,成功於Linux核心中引進了釋 放後使用(Use After Free)漏洞,並提出了緩解相關問題的解決方案。 Kroah-Hartman說,Linux核心社群並不歡迎這種實驗,也不願接受提交無用修補程式的測試 ,決定從今以後封鎖所有來自明尼蘇達大學的貢獻,也會移除該大學過去的貢獻。 在遭到Kroah-Hartman猛烈的批評之後,明尼蘇達大學電腦科學暨工程學院的負責人Mats He imdahl很快就發表了聲明,表示他們非常重視此一事件,也立即停止這類的研究,將進一步 調查此一研究方法,以及該研究方法被核准的過程,以期採取適當的補救措施,也會在調查 結果出爐後,儘快將報告提交給Linux核心社群。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.34.39 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1619124266.A.135.html

04/23 04:46, 2年前 , 1F
幹你娘UMN那群自私的人渣全都該死
04/23 04:46, 1F

04/23 04:47, 2年前 , 2F
不就是個天堂外掛輔助程式
04/23 04:47, 2F

04/23 04:47, 2年前 , 3F
很像某黨派人去協助時力一樣 時間一到就各種漏洞後門
04/23 04:47, 3F

04/23 04:50, 2年前 , 4F
87 = =
04/23 04:50, 4F

04/23 04:51, 2年前 , 5F
ubuntu更新有夠頻繁的是不是該找它們算帳
04/23 04:51, 5F

04/23 04:55, 2年前 , 6F
台灣太自由 Linux太開放 CCC
04/23 04:55, 6F

04/23 04:58, 2年前 , 7F
操她媽的這群垃圾
04/23 04:58, 7F

04/23 05:01, 2年前 , 8F
不過這確實反映一個問題就是了
04/23 05:01, 8F

04/23 05:07, 2年前 , 9F
壓力測試....
04/23 05:07, 9F

04/23 05:24, 2年前 , 10F
如果事先告知呢 不然這是好問題 要是有人故意放臭蟲 被
04/23 05:24, 10F

04/23 05:24, 2年前 , 11F
釋出怎辦
04/23 05:24, 11F

04/23 05:25, 2年前 , 12F
不過這樣搞整個社群都受害 真的是很嚴重
04/23 05:25, 12F

04/23 05:32, 2年前 , 13F
真的有病= =想出名想瘋了484
04/23 05:32, 13F

04/23 05:45, 2年前 , 14F
........
04/23 05:45, 14F

04/23 05:47, 2年前 , 15F
其實就是想要人家免費幫忙修補漏洞啦
04/23 05:47, 15F

04/23 07:04, 2年前 , 16F
美國垃圾學店
04/23 07:04, 16F

04/23 07:06, 2年前 , 17F
測試這種東西 怎麼會是電腦工程科系做的實驗阿?
04/23 07:06, 17F

04/23 07:10, 2年前 , 18F
確實要有機制檢核任何貢獻的程式碼是沒漏洞的,真的有心人
04/23 07:10, 18F

04/23 07:10, 2年前 , 19F
士來一次大條全掛吧
04/23 07:10, 19F

04/23 07:10, 2年前 , 20F
哈哈 直接被封殺
04/23 07:10, 20F

04/23 07:11, 2年前 , 21F
中國的貢獻沒有後門嗎
04/23 07:11, 21F

04/23 07:36, 2年前 , 22F
當Code Review是北七嗎
04/23 07:36, 22F

04/23 07:36, 2年前 , 23F
被Ban了吧 有夠自私
04/23 07:36, 23F

04/23 07:39, 2年前 , 24F
實際上 UMN Code Review 就是證實了Code Review確實北七
04/23 07:39, 24F

04/23 07:40, 2年前 , 25F
只是我覺得大家review的時候通常是驗證邏輯上的正確性
04/23 07:40, 25F

04/23 07:41, 2年前 , 26F
其實這應該可以提告,而且違反學術倫理,非常嚴重
04/23 07:41, 26F

04/23 07:42, 2年前 , 27F
基本上,不能在未充分告知風險的前提下進行這種實驗
04/23 07:42, 27F

04/23 07:43, 2年前 , 28F
因為未充分揭露風險將導致使用者承擔各種可能損失
04/23 07:43, 28F

04/23 07:49, 2年前 , 29F
很像某些民眾組黨想合作,隨後變色說那個已經沒有用了一
04/23 07:49, 29F

04/23 07:50, 2年前 , 30F
樣噁爛!
04/23 07:50, 30F

04/23 07:52, 2年前 , 31F
野雞大學
04/23 07:52, 31F

04/23 08:06, 2年前 , 32F
這跟open source無關啊 非開源軟體的員工 也可以故意在程
04/23 08:06, 32F

04/23 08:06, 2年前 , 33F
式放入漏洞 只要有心非開源更難抓
04/23 08:06, 33F

04/23 08:06, 2年前 , 34F
我倒覺得,說要台獨然後迴避當兵比較噁爛
04/23 08:06, 34F

04/23 08:18, 2年前 , 35F
所以資工沒工程倫理這門課嗎?
04/23 08:18, 35F

04/23 08:19, 2年前 , 36F
垃圾大學
04/23 08:19, 36F

04/23 08:25, 2年前 , 37F
幹你娘咧 答應要給你們做研究了
04/23 08:25, 37F

04/23 08:27, 2年前 , 38F
這違反學術論理了吧
04/23 08:27, 38F

04/23 09:15, 2年前 , 39F
垃圾
04/23 09:15, 39F

04/23 09:16, 2年前 , 40F
這跟共產主義滲透一般國家社會的做法一樣啊。
04/23 09:16, 40F

04/23 09:42, 2年前 , 41F
時代力量: 乾拎量...
04/23 09:42, 41F

04/23 09:46, 2年前 , 42F
不過這也代表做研究的人說的沒錯阿,這種開源的東西如果有
04/23 09:46, 42F

04/23 09:46, 2年前 , 43F
心人加點料你還真的看不出來
04/23 09:46, 43F

04/23 09:53, 2年前 , 44F
又是以社會實驗為名的智障研究
04/23 09:53, 44F

04/23 09:56, 2年前 , 45F
時代力量表示:
04/23 09:56, 45F

04/23 10:02, 2年前 , 46F
綠共對時力真的是滿滿的惡意
04/23 10:02, 46F

04/23 10:26, 2年前 , 47F
ptt也yahoo化了,什麼文有人都能扯去政治
04/23 10:26, 47F

04/23 11:58, 2年前 , 48F
五 毛 軍,任 務 出 動
04/23 11:58, 48F

04/23 12:34, 2年前 , 49F
追求安全性都來不及了,還來亂,一點學術倫理也沒有
04/23 12:34, 49F

04/23 12:34, 2年前 , 50F
浪費開發者資源、影響全球,有夠垃圾
04/23 12:34, 50F

04/23 12:43, 2年前 , 51F
垃圾大學
04/23 12:43, 51F

04/23 12:57, 2年前 , 52F
八卦是研究教授跟博士生是華裔
04/23 12:57, 52F

04/23 13:30, 2年前 , 53F
白痴殺小
04/23 13:30, 53F

04/23 13:34, 2年前 , 54F
這不是要別人幫忙修補漏洞,這是利用了學術研究的身份,
04/23 13:34, 54F

04/23 13:34, 2年前 , 55F
利用可以修改核心程式的權限,惡意灌入漏洞和bugs
04/23 13:34, 55F

04/23 13:38, 2年前 , 56F
支那人針對美國社群的社會實驗
04/23 13:38, 56F

04/23 13:47, 2年前 , 57F
不就利用別人善意 說自己真的可以做惡 被Ban剛好
04/23 13:47, 57F

04/23 14:26, 2年前 , 58F
人家不是你的實驗場啊 這樣做真的是消費別人的熱心
04/23 14:26, 58F

04/23 14:40, 2年前 , 59F
支那人真的不要怪人家歧視你們 因為你們真的很劣等
04/23 14:40, 59F

04/23 14:43, 2年前 , 60F
04/23 14:43, 60F

04/23 15:02, 2年前 , 61F
真的是垃圾 如果釋出給大家用了 大家一起死
04/23 15:02, 61F

04/23 15:27, 2年前 , 62F
你是不是想召喚jserv大?
04/23 15:27, 62F

04/23 15:27, 2年前 , 63F
這真的智障到有剩了
04/23 15:27, 63F

04/23 15:31, 2年前 , 64F
研究名稱取的很好,偽君子
04/23 15:31, 64F

04/23 15:42, 2年前 , 65F
惡意玩弄自由軟體的善良,把整個 UMN 網域ban掉也合理
04/23 15:42, 65F

04/23 15:51, 2年前 , 66F
中國人不意外
04/23 15:51, 66F

04/23 16:53, 2年前 , 67F
為了寫論文,設計這種坑人手段,這有沒有違反學術倫理啊?
04/23 16:53, 67F

04/23 17:18, 2年前 , 68F
@jserv 老師這有沒有掛
04/23 17:18, 68F

04/23 18:17, 2年前 , 69F
這些研究生可以終身不准碰電腦嗎
04/23 18:17, 69F

04/23 19:15, 2年前 , 70F
沒bug可以拿來寫論文,就自己埋再修是什麼鬼
04/23 19:15, 70F

04/23 20:34, 2年前 , 71F
故意放漏洞進去,這哪招?
04/23 20:34, 71F

04/23 20:38, 2年前 , 72F
the 自導自演 Errr
04/23 20:38, 72F

04/23 21:25, 2年前 , 73F
之前ptt也有一群台大臭母豬發引戰文研究鄉民反應
04/23 21:25, 73F

04/23 23:46, 2年前 , 74F
智障嗎..自己寫垃圾論文就算了 還想把垃圾code塞給別人
04/23 23:46, 74F

04/24 01:32, 2年前 , 75F
浪費開發者資源, 真的白目
04/24 01:32, 75F
文章代碼(AID): #1WWU0g4r (Gossiping)
討論串 (同標題文章)
文章代碼(AID): #1WWU0g4r (Gossiping)