网易首页 > 网易号 > 正文 申请入驻

被LINUX拉黑!这个华人教授涉嫌故意引入漏洞发论文,整个大学都「遭殃」

0
分享至

  来源:bleepingcomputer

  编辑:小匀

  【新智元导读】近日,有爆料称明尼苏达大学几年里向Linux Kernel提交了200多个有bug的代码,用于发表论文关于「开源社区安全漏洞」的论文。Linux管理人员宣布将所有明尼苏达大学提交的补丁作废,并将整个大学列入黑名单。

  自己挖个坑,然后举报这里有漏洞?

  最近,明尼苏达大学(以下简称UMN) 一整个学校都被Linux拉黑了 。

  

  原因是:有人几年里偷偷向Linux Kernel提交了200多个有bug的假代码,然后自己发表论文「开源社区存在的安全漏洞」。

  

  对此,相关管理人员表示:拉黑!拉黑一整个学校!

  咋回事?

  引入UaF漏洞

  据悉,这篇论文于2月10日发表,论文署名为Qiushi Wu 和 Kangjie Lu,研究的重点是通过提交恶意或不安全的代码补丁。

  虽然表面上关注的是一般的开源软件,但作者们把大部分注意力放在了Linux内核上。

  

  我们知道,内核是无处不在的——从树莓派这样的单板计算机到最强大的超级计算机,都有它的身影。

  他们故意在内核中隐蔽地引入Use-after-free漏洞(简称UaF漏洞)。造成UAF的罪魁祸首是迷途指针(Dangling pointer )。已分配的内存释放之后,其指针并没有因为内存释放而变为NULL,而是继续指向已释放内存。

  研究人员展示了许多例子, 研究人员展示了许多例子,说明他们通过这些 「伪装者」的补丁提交引入了已知的漏洞。

  

  研究人员试图在代码中重新引入NULL指针解构缺陷(CVE-2019-15922)

  「引入无效状态很简单。修补程序看似有效,因为它在释放指针后使pf-> disk-> queue无效。」

  「但是,在此无效之后,将调用诸如pf_detect()和pf_exit()之类的某些函数,它们将进一步取消对该指针的引用而不检查其状态,从而导致NULL指针。」UMN研究人员在他们的论文中说。

  然而,有数百个自称是「补丁」的提交。

  

  部分来自UMN研究人员的的提交清单(但后续被Kroah-Hartman恢复)

  UMN研究人员禁止将恶意提交大规模还原

  葛雷格·克罗哈曼 (Greg Kroah-Hartman)禁止尝试主线Linux内核补丁,因为它故意提交有安全影响的可疑代码,并以研究的名义进行其他「实验」。

  他Linux核心开发者,Linux 核心维护者。他表示对academic integrity and ethics(学术诚信和道德规范)感到震惊,宣布将所有明尼苏达大学提交的补丁作废,并将整个大学列入黑名单。

  

  Kroah-Hartman在一系列已发布的电子邮件中说:「在工作完成之前,(我们正在删除)此更改,以确保不会在代码库中引入任何问题。」

  

  Greg Kroah-Hartman大规模恢复了从UMN提交的提交内容

  但即使在这篇论文之后,明尼苏达大学的研究人员又出现了新一轮的补丁,声称来自「一个新的静态分析器」,但没有任何实际价值的补丁。

  「这些新的、有问题的补丁似乎没有任何真正的价值-,而且完全是在浪费上游开发者的时间。」Greg表示。

  UMN研究人员称这些指控为「诽谤」

  但UMN的研究人员表示不服。

  很快,研究人员Aditya Pakki要求Greg Kroah-Hartman不要「胡乱指责,这近乎于诽谤」。

  他写道,「我恭敬地要求你停止和终止胡乱指责,这近乎于诽谤。

  这些补丁是作为我写的一个新的静态分析器的一部分发送的,它的灵敏度显然不是很高。我发送补丁的目的是希望得到反馈。我们不是Linux内核方面的专家,反复发表这些言论让人听了很反感。

  显然,这是一个错误的步骤,但你的先入为主的偏见是如此强烈,以至于你提出的指控毫无根据,也不给我们任何怀疑的好处。由于这种态度不仅不受欢迎,而且对新手和非专家也是一种恐吓,我将不会再发送任何补丁。」

  

  对此,Kroah-Hartman回应说,Linux内核开发者社区并不欣赏以这种方式进行试验。

  「如果你想做这样的工作,我建议你找一个不同的社区来进行你的实验,这里不欢迎你,」Kroah-Hartman说。

  「正因为如此,我现在不得不禁止你们大学今后的所有贡献,并撕掉你们以前的贡献,因为它们显然是以恶意的方式提交的,意在造成问题。」他继续说道。

  UMN的研究人员编制了一份详细的FAQ文件,他们在文件中指出,他们的研究目标是通过证明引入错误的补丁的实用性,来提高开源软件中补丁过程的安全性。 https://www-users.cs.umn.edu/~kjlu/papers/clarifications-hc.pdf

  

  他们还表示,任何补丁建议都是通过电子邮件交流提出的,从未进入任何代码分支或Linux内核。

  根据该文件,该大学的IRB认定这不是人类研究,也不具有伦理上的危害性,因此批准了该研究活动。

  虽然,研究人员确实为审查「伪君子」补丁所浪费的时间向Linux维护者表示了真诚的歉意。

  「我们要向参与相应补丁审查过程的维护者真诚地道歉;这项工作确实浪费了他们的宝贵时间。我们曾仔细考虑过这个问题,但在这项研究中无法找出更好的解决方案。」

  开源安全公司总裁Brad Spengler对此事进行了评述,称这是Linux内核维护者的「过度反应」。

  Spengler指出,包括他自己在内的许多人在去年就已经向Linux维护者指出了这些可疑的提交,但直到现在,这些提交才被大规模行动起来。

  

  「.....这种过度反应是可怕的,恢复了早在这些研究之前的提交,删除了已添加的CAP_SYS_ADMIN检查,等等。这简直是疯了。」

  「并非所有被恢复的补丁都是恶意的,」他警告说,决定恢复所有补丁可能会重新引入错误。

  当媒体联系到Kroah-Hartman时,他选择不对这一情况提供任何进一步的评论。

  参考资料:

  https://www.bleepingcomputer.com/news/security/linux-bans-university-of-minnesota-for-committing-malicious-code/

  https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

  https://www.phoronix.com/scan.php?page=news_item&px=University-Ban-From-Linux-Dev

  中国要做自己的GPT,万一实现了呢?

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐

“我发誓再也不网恋了,这照片跟本人对比,算不算诈骗?”哈哈哈

动漫急先锋
2021-05-18 04:41:44

丢了大客户,阿里云能否走出云厂商困境?

钛媒体APP
2021-05-18 12:37:19

切尔诺贝利核电站内部出现异常:核废料正在冒烟,恐引发第二次核事故

前瞻网
2021-05-17 17:15:09

人到中年,都懂得“人间不值得”

十点读书
2021-05-18 05:59:30

许敏讲述姚策遗孀熊磊骗婚经过:死缠烂打嫁进门,不遵夫嘱夺房产

凡间事
2021-05-17 19:51:08

5人都跑动+全程0运球!篮网上演神仙配合!注意看裁判:明显看激动了

体育课副班长
2021-05-17 20:48:43

“美国赶走新华社记者”,引爆全球舆论,华春莹表态亮明中国立场

海拔新观察
2021-05-17 20:04:52

火星传来重大喜讯!五星红旗光芒耀眼,总师激动落泪,全球赞叹!

辣椒新闻
2021-05-17 13:43:24

美国人的诚信,讲得太深刻了!!!

这才是美国
2021-05-18 09:55:29

某平台改数据iPhone太多,入手需谨慎

科学蓝
2021-05-18 03:28:00

“女子持刀伤人事件”背后的千亿市值上市公司

大猫财经
2021-05-18 11:25:34

弦子拒绝透露朱军案延期或撤诉,拉黑网友,朱军方委托发声明表态

徒步旅行
2021-05-18 10:01:54

我每次生理期,老公都忍不住...

小镇诗人
2021-05-17 23:19:55

毫无羞耻感!女子因出轨怀孕被起诉,称:丈夫只是我的备胎

生活直通车
2021-05-18 02:51:48

精锐武装抵达前线,哈马斯终于迎来强援,以色列紧急暂停行动

军武视界
2021-05-18 11:11:34

儿媳想吃排骨,婆婆赌气炖了6斤,关火后掀开锅盖,含泪自首

寄予好音乐
2021-05-18 11:16:16

陈思思不再隐瞒,说出与李双江真实关系,难怪李天一会入狱7年

8圈儿理事
2021-05-15 19:56:07

5大球星换队?NBA联盟又将地震,保罗或拒绝4400万,湖人组3巨头

一登侃球
2021-05-17 21:57:23

算命(社会扫描)

我们的百变生活
2021-05-18 01:38:18

娱乐揭秘:赵本山撕开遮羞布道出为何不用小沈阳,原来沈春阳一直在骗我们吗

董哥说情感
2021-05-17 23:25:09
2021-05-18 14:28:52
新智元
新智元
AI产业主平台领航智能+时代
6749文章数 45804关注度
往期回顾 全部

科技要闻

传鸿蒙6月2日正式发布 200+主流App已支持

头条要闻

巴以冲突美国作壁上观 拜登专注应对中俄又被拉回中东

头条要闻

巴以冲突美国作壁上观 拜登专注应对中俄又被拉回中东

体育要闻

库里蝉联西部月最佳 威少东部获奖

娱乐要闻

65岁张丰毅老当益壮 豪宅内景曝光

财经要闻

汽车要闻

"国产"XC90 领克09售价或不超过30万

态度原创

本地
健康
数码
公开课
军事航空

本地新闻

成年人的崩溃该不该藏起来?

体检时如何筛查乳腺癌?

数码要闻

盖茨和女工程师鲜为人知的关系被扒:人设崩塌实锤?

公开课

10万彩礼,能结婚吗?小伙的回答太憨了

军事要闻

北部战区歼16战斗机超低空掠海飞行