- Ubuntu 21.04 é lançado com Linux 5.11 e tema escuro aprimorado
- Windows 10 agora roda programas de Linux com interface gráfica
Correções com falhas
Basicamente, o estudo em questão teve como objetivo demonstrar que projetos de código-fonte aberto podem ser suscetíveis ao recebimento de contribuições que introduzem vulnerabilidades conhecidas no software.
Para isso, os pesquisadores adotaram uma tática que consistiu em encontrar três falhas de baixa prioridade no kernel, corrigi-las e submetê-las aos mantenedores do Linux. Porém, cada correção tinha uma “vulnerabilidade imatura”, isto é, uma falha que só causa problemas na presença de um recurso adicional, como uma chamada para uma biblioteca.
As correções foram submetidas aos mantenedores, sem os recursos adicionais, com o intuito de checar se eles detectariam as vulnerabilidades inseridas intencionalmente nelas, o que não aconteceu.
Tão logo tiveram retorno sobre as correções submetidas, os pesquisadores apontaram as falhas introduzidas e ofereceram patches sem brechas. Apesar disso, os mantenedores não gostaram nem um pouco de saber que estavam sendo testados dessa forma e sem aviso prévio.
Como reação, Greg Kroah-Hartman, um dos principais mantenedores do Linux depois de Linus Torvalds, decidiu rejeitar por padrão todas as contribuições submetidas por desenvolvedores com e-mail @umn.edu, com exceção para aquelas comprovadamente legítimas e que puderem ser verificadas. Mas, com relação a estas, Kroah-Hartman disse: “sério, por que perder seu tempo fazendo essa trabalho extra?”
O pedido de desculpas
Na carta de desculpas, Kangjie Lu, Qiushi Wu e Aditya Pakki, os três integrantes da UMN que protagonizam essa história, explicam que não avisaram os mantenedores sobre o estudo porque, do contrário, em vez de seguir a rotina padrão de atividades, eles estariam focados em procurar as falhas inseridas nas correções — estas, aliás, foram chamadas pelos pesquisadores de “commits hipócritas”.
Além disso, eles ressaltam que o Linux não ficou vulnerável porque as três correções em questão tiveram sua implementação interrompida e que as conclusões do grupo foram relatadas à comunidade antes da publicação da pesquisa.
O trio também argumenta que as 190 correções enviadas por membros da UMN que foram revertidas ou reavaliadas pelos mantenedores — outra “punição” aplicada — são legítimas, ou seja, não têm ligação com o estudo.
Queremos apenas que vocês saibam que nós nunca prejudicaríamos intencionalmente a comunidade do kernel Linux e nunca introduziríamos brechas de segurança. Nosso trabalho foi conduzido com a melhor das intenções e esteve focado em encontrar e corrigir falhas.
Kangjie Lu, Qiushi Wu e Aditya Pakki
Carta não convenceu
A carta foi enviada no último sábado (24). No dia seguinte, Greg Kroah-Hartman confirmou o recebimento, mas não se mostrou sensibilizado com os argumentos.
Em resposta, ele avisou que, na sexta-feira (23), a Linux Foundation enviou uma carta à Universidade de Minnesota descrevendo as ações que a instituição precisa seguir para reconquistar a confiança da comunidade do kernel. “Enquanto essas ações não forem executadas, não teremos nada mais a discutir sobre o assunto”, finalizou Kroah-Hartman.
As exigências da Linux Foundation enviadas à UMN ainda não foram reveladas. De todo modo, a universidade já havia anunciado a decisão de suspender essa linha de pesquisa e tomar medidas corretivas.
Com informações: Ars Technica.
Equipe do Linux rejeita desculpas de pesquisadores por código malicioso
como rastrear um celular samsung
Fonte: https://tecnoblog.net/436508/mantenedores-linux-rejeita-desculpas-pesquisadores-codigo-malicioso-kernel/
Nenhum comentário:
Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.