情境示意圖,Photo by Katrin Hauf on unsplash

有一群來自明尼蘇達大學(University of Minnesota,UMN)的研究人員,藉由貢獻修補程式至Linux核心的名義,實則利用修補程式導入臭蟲或漏洞,以觀察Linux核心社群的反應,近日再度故技重施時,遭到Linux大老Greg Kroah-Hartman斥責,Greg Kroah-Hartman不僅封鎖了所有來自該大學的貢獻,還移除了過去該大學曾經貢獻的程式碼。

Kroah-Hartman寫了一封措辭嚴厲的電子郵件予該群研究人員,指出他們過去即曾公開坦承送出含有許多臭蟲的修補程式至Linux核心社群,以測試社群的反應,還以此發表了論文,這次他們再度提交了一系列明顯錯誤的修補程式,這些程式並沒有修補任何東西,使得他假設Linux社群再度淪為實驗對象。

Kroah-Hartman指出,該群研究人員並未要求社群的協助,反而是在知道這是個實驗的狀態下,宣稱該修補是合法的,然而,Linux核心社群的任務並非是成為別人的測試對象,他們歡迎開發人員協助強化Linux,但這些研究人員的所作所為並非如此。

惹毛Kroah-Hartman的研究,應是明尼蘇達大學在今年2月所出版的「開源碼的不安全性:偽君子偷偷導入了漏洞」(Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits)報告,這群研究人員利用貢獻程式碼(修補程式)至Linux核心社群的機會,在程式碼中夾帶了臭蟲與潛在的安全漏洞,成功於Linux核心中引進了釋放後使用(Use After Free)漏洞,並提出了緩解相關問題的解決方案。

Kroah-Hartman說,Linux核心社群並不歡迎這種實驗,也不願接受提交無用修補程式的測試,決定從今以後封鎖所有來自明尼蘇達大學的貢獻,也會移除該大學過去的貢獻。

在遭到Kroah-Hartman猛烈的批評之後,明尼蘇達大學電腦科學暨工程學院的負責人Mats Heimdahl很快就發表了聲明,表示他們非常重視此一事件,也立即停止這類的研究,將進一步調查此一研究方法,以及該研究方法被核准的過程,以期採取適當的補救措施,也會在調查結果出爐後,儘快將報告提交給Linux核心社群。

熱門新聞


Advertisement