web analytics

Linux, che pasticcio: università invia appositamente patch con vulnerabilità

linux

Una notizia che ha dell’incredibile, probabilmente ne avete già sentito parlare in queste ore. La University of Minnesota non potrà più inviare patch per il kernel Linux in seguito alla pubblicazione volontaria di patch contenenti vulnerabilità nel ramo stabile del kernel. Avete capito bene.

UMN: basta sporcare Linux

L’università a febbraio ha pubblicato una ricerca dal titolo “Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits”. Hanno svolto una ricerca che riguardava l’inserimento intenzionale di falle nel ramo principale del kernel Linux. In particolare, si è trattato di vulnerabilità Use-After-Free che riguardano un errato uso della memoria. Se dopo aver liberato una posizione di memoria, un programma non cancella il puntatore a quell’indirizzo, un malintenzionato può sfruttare  l’errore per hackerare il programma stesso.

Dopo aver pubblicato il documento sopra citato i ricercatori hanno prodotto un’ondata di patch buggate attraverso un tool automatico. I manutentori hanno quindi dovuto perdere tempo prezioso per verificare del codice inutile.  La storia non è piaciuta a Greg-Kroah-Hartman, mantainer del kernel, che ha optato per rimuovere tutti i commit provenienti da indirizzi @umn.edu, anche perché l’ateneo non ha fatto nulla per fermare i propri ricercatori.

Lo scontro Hartman – Pakki

hartman
Hartman.

Il dottorando Aditya Pakki ha cercato di difendersi:

Greg, vi chiedo rispettosamente di cessare e desistere dal fare accuse selvagge […] Queste patch sono state inviate da un nuovo analizzatore statico che ho scritto e la sua sensibilità ovviamente non è eccezionale. Ho inviato le patch nella speranza di ottenere dei feedback […] Ovviamente, abbiamo compiuto un passo falso, ma i tuoi pregiudizi sono così forti, fai accuse senza merito né ci dai alcun beneficio del dubbio. Non invierò più patch per l’atteggiamento non solo sgradito ma anche intimidatorio per neofiti e non esperti.

Hartman ha ribattuto stizzito:

Tu e il tuo gruppo avete ammesso pubblicamente di aver inviato patch con bug noti per vedere come reagirebbe la comunità del kernel, e avete pubblicato un documento basato su quel lavoro. Ora invii di nuovo una nuova serie di patch, ovviamente errate, cosa dovrei pensare di una comportamento del genere?

Hartman si è arrabbiato perché i mantainer sono stati costretti a sistemare patch che non risolvevano alcun problema.

Per questo motivo, ora dovrò bandire tutti i contributi futuri dalla vostra Università ed eliminare i contributi precedenti, poiché sono stati ovviamente presentati in malafede con l’intento di creare problemi. Se desideri lavorare in questo modo, ti suggerisco di trovare una comunità diversa su cui eseguire i tuoi esperimenti, non sei il benvenuto qui.

ha concluso Hartman.

Tutti i commit provenienti da indirizzi @umn.edu sono quindi stati rimossi, anche perché l’ateneo non ha fatto nulla per fermare i ricercatori dal proseguire sulla loro strada.

E la community?

In molti si sono detti d’accordo con Hartman, soprattutto i mantainer del kernel, indignati dall’atteggiamneto dell’università. Queste le parole di Floyd di Red Hat:

Altri, come Brad Spengler, presidente di Open Source Security Inc., hanno ritenuto eccessiva la reazione da parte dei manutentori del kernel Linux. Perché rimuovere anche i commit più vecchi rispetto alla pubblicazione della ricerca?

sharing-caring-1Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

Altre storie
qr code wif card
WiFi Card: come creare un QR Code per connettersi alla propria rete Wi-Fi