Linux prohíbe a la Universidad de Minnesota por cometer código malicioso

linux

En una decisión poco común y revolucionaria, los responsables del proyecto del kernel de Linux prohibieron a la Universidad de Minnesota (UMN) contribuir al proyecto de código abierto de Linux.

La medida se produce después de que un grupo de investigadores de la UMN fuera sorprendido enviando una serie de confirmaciones de código malicioso o parches que introdujeron deliberadamente vulnerabilidades de seguridad en la base de código oficial de Linux, como parte de sus esfuerzos de investigación.

Además, los encargados del mantenimiento del proyecto del kernel de Linux han decidido deshacer todas las confirmaciones de código enviadas desde un archivo. @ umn.edu correos electrónicos.

Índice()

    Comisiones dañinas canceladas en masa, prohibidas por investigadores de la UMN

    Hoy, uno de los principales desarrolladores de kernel de Linux, Greg Kroah-Hartman, ha prohibido a la Universidad de Minnesota (UMN) contribuir al proyecto de kernel de Linux de código abierto.

    Kroah-Hartman también decidió cancelar todas las confirmaciones enviadas desde cualquier dirección de correo electrónico de UMN hasta ese momento.

    La justificación del desarrollador para dar este paso es:

    "Se compromete desde @ umn.edu Se descubrió que las direcciones se enviaron de "mala fe" para intentar probar la capacidad de la comunidad del núcleo para revisar los cambios "conocidos como malos". "

    "Por esta razón, todos los envíos de este grupo deben restaurarse desde el árbol del kernel y deberán ser reexaminados para determinar si realmente son una solución válida".

    "Hasta que el trabajo esté completo, [we are removing] este cambio para asegurar que no se introduzcan problemas en la base del código ", dijo Kroah-Hartman en una serie de correos electrónicos publicados.

    Correo electrónico de Greg Kroah-Hartman
    El desarrollador del kernel de Linux Greg Kroah-Hartman confirmaciones de restauración masiva enviadas por UMN

    En febrero de 2021, los investigadores de la UMN publicaron un archivo trabajo de investigación titulado "Inseguridad de código abierto: introducción sigilosa de vulnerabilidades a través de compromisos hipócritas ".

    El objetivo de esta investigación fue introducir deliberadamente vulnerabilidades de seguridad conocidas en el kernel de Linux mediante la entrega de parches de código maliciosos o inseguros.

    Como lo vio BleepingComputer, los investigadores demuestran muchos ejemplos de casos en los que introdujeron vulnerabilidades conocidas al realizar estas confirmaciones de parche "hipócritas":

    CVE-2019-15922 reintroducido
    Los investigadores intentan reintroducir la falla de desreferenciación del puntero NULL (CVE-2019-15922) en el código

    "Presentar el estado cancelado es simple. El parche aparentemente es válido porque cancela pf-> disco-> cola después de que se suelta el puntero. "

    "Sin embargo, algunas funciones como pf_detect () es pf_exit () se llaman después de este nulo y desreferenciarían aún más este puntero sin verificar su estado, lo que conduciría a un puntero NULL ", afirman los investigadores de la UMN en su artículo.

    Como lo ve BleepingComputer, hay cientos de confirmaciones que se anuncian falsamente como "parches". han sido restaurados como parte de este proceso:

    confirmaciones restauradas
    Lista parcial de confirmaciones de investigadores de UMN que fueron canceladas por Kroah-Hartman

    Los investigadores de la UMN llaman "calumnia" a las acusaciones

    Pronto, el investigador de la UMN Aditya Pakki rechazado pedirle a Kroah-Hartman que se abstenga de "hacer acusaciones descabelladas que bordean la calumnia".

    Pakki escribió:

    Greg,

    Le pido respetuosamente que cese y desista de hacer acusaciones salvajes que bordean la calumnia.

    Estos parches se enviaron como parte de un nuevo analizador estático que escribí y, obviamente, su sensibilidad no es excelente. He enviado parches con la esperanza de recibir comentarios. No somos expertos en el kernel de Linux y es repugnante escuchar estas afirmaciones repetidamente.

    Obviamente, este es un paso en falso, pero tus prejuicios preconcebidos son tan fuertes que haces acusaciones sin mérito o nos das algún beneficio de la duda. Ya no publicaré parches para las actitudes no solo no deseadas, sino también intimidatorias para los novatos y los no expertos.

    A lo que Kroah-Hartman respondió que la comunidad de desarrolladores del kernel de Linux no aprecia que se experimente de esta manera.

    "Si desea trabajar de esta manera, le sugiero que busque una comunidad diferente para realizar sus experimentos, no es bienvenido aquí", dijo Kroah-Hartman.

    "Por esta razón, ahora tendré que prohibir todas las contribuciones futuras de su Universidad y arrebatar sus contribuciones anteriores, ya que obviamente fueron presentadas de mala fe con la intención de causar problemas", continuó.

    Brad Spengler, presidente del presidente de Open Source Security Inc. evaluó el asunto y lo calificó como una reacción exagerada por parte de los mantenedores del kernel de Linux.

    Spengler señala que muchas personas, incluido él mismo, informaron sobre las confirmaciones sospechosas a los mantenedores de Linux el año pasado, pero no fue hasta ahora que se implementaron en masa.

    "... esta reacción exagerada es terrible, anule el compromiso mucho antes de cualquier búsqueda, elimine CAP_SYS_ADMIN cheques que se han agregado, etc ... Esto es una locura. "

    “Una cosa es ejecutar esa revisión entre bastidores y solo comprometer el resultado de esa revisión, pero ¿reintroducir a sabiendas docenas de vulnerabilidades para 'tomar una posición'? Vamos”, continuó Spengler en el mismo hilo.

    BleepingComputer se comunicó con la Universidad de Minnesota para hacer comentarios antes de publicar este artículo, pero aún no hemos recibido una respuesta.

    Cuando BleepingComputer se puso en contacto con él, Kroah-Hartman decidió no ofrecer más comentarios sobre la situación.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir