ミネソタ大研究者、研究のためとしてLinuxカーネルに意図的に脆弱性コードをコミット

ミネソタ大研究者、研究のためとしてLinuxカーネルに意図的に脆弱性コードをコミット 130

ストーリー by nagazou 2021年04月26日 12時00分
疑心暗鬼発生部門より

4月21日、Linuxカーネルの開発コミュニティーで、ミネソタ大学の研究者らがLinuxカーネルのソースコードに既知のセキュリティ上の欠陥のあるコードをコミットしていたとして、Linuxカーネルへの貢献を禁止する処置が行われたことが話題になっている（lore.kernel.orgのLKMLアーカイブ、The Verge、Phoronix、GIGAZINE、ITmedia）。

この問題に関与した研究者は論文を発表し、カーネル開発コミュニティが、悪意あるコードを変更を審査する能力があるかどうかを試すために、意図的に実行したものだとしている（GitHub 論文[PDF]）。コミュニティは同大学からの新しいコードを受け入れないことに加え、過去に提出されたすべてのコードを削除、再審査しているという。開発者コミュニティ側のGreg Kroah-Hartmanは、我々の時間を無駄にする行為だとして批判している。

なお、Tom's Hardwareの記事によれば、Linus Torvalds氏はの反応は「私は本当に何を言うべきかわからない。技術的には大したことではないと思うが、コミュニティの人々は腹を立てており、明らかに信頼を侵害したと思う」と予想よりも穏やかなものであったらしい（Tom's Hardware）。

あるAnonymous Coward 曰く、

ポストモダン思想におけるソーカル事件みたいなことを再現したかったのかな、とも思うが、影響範囲がひどいからやってはダメ。ぜったい。

情報元へのリンク

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索130コメント Log In/Create an Account

有意義だからといってなんでもやっていいわけではない (スコア:3, すばらしい洞察)

by Anonymous Coward on 2021年04月26日 12時16分 (#4020657)

僕の家で一般家屋の燃焼実験なんてされたら怒り狂うよ。
たとえ有意義だとしてもね。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  大丈夫、ミネソタ大も怒るから
  というか、それ以前に学内の倫理審査が通らない
  - Re:有意義だからといってなんでもやっていいわけではない (スコア:5, 興味深い)
    
    by Anonymous Coward on 2021年04月26日 15時12分 (#4020808)
    
    ミネソタ大の倫理審査を通過してるんですよコレ。
    なので個人じゃなくて「ミネソタ大」が出禁になった。
    慌てたミネソタ大側は「なぜ通過したのかわからんので調べる [umn.edu]」と言ってますが
    論文を書いた研究者曰く「審査に出したら『人間相手の実験じゃないからﾖｼ！』で通った [umn.edu]」。
    しかもメンテナから「ふざけたコード送るな」と叱られたときに
    「あーうるさい。根拠もないのに突っかかってこないでくれる？　そんなマウント取るなら今後もう送ってあげない」みたいな態度取ってたらしく
    「じゃあ送れないようにしてやるよ」という対応になったのです。。
    
    シェア
    
    親コメント
    - - Re:有意義だからといってなんでもやっていいわけではない (スコア:1)
        
        by nekopon (1483) on 2021年04月27日 8時51分 (#4021296) 日記
        
        ごめんなさいしたら Greg KH がスルーしてる [kernel.org]のが怖い
        
        シェア
        
        親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    大丈夫、ミネソタ大も怒るから
    というか、それ以前に学内の倫理審査が通らない
    今回の件は通ってるけどね・・・
    - - Re:有意義だからといってなんでもやっていいわけではない (スコア:2)
        
        by 90 (35300) on 2021年04月26日 16時58分 (#4020893) 日記
        
        まず実験をやって論文を出して後から倫理審査を通した [twitter.com]らしいですよ。後から!?
        
        シェア
        
        親コメント
      - Re:有意義だからといってなんでもやっていいわけではない (スコア:1)
        
        by Anonymous Coward on 2021年04月27日 9時00分 (#4021300)
        
        カーネル開発コミュニティに対する実験と見せかけて倫理委員会に対する実験だったのね
        
        シェア
        
        親コメント
オープンソース版スラド (スコア:2, おもしろおかしい)

by Anonymous Coward on 2021年04月26日 12時18分 (#4020660)

> 悪意あるコードを変更を審査する能力があるかどうかを試すために、意図的に実行したものだとしている
「悪意ある変更を検出する能力があるかどうか試すため、意図的にニュースを改変」とすればまんまスラドですやん
関連ストーリー (スコア:1)

by Anonymous Coward on 2021年04月26日 12時08分 (#4020654)

Linux、2003年にバックドアを仕掛けられそうになっていた
https://linux.srad.jp/story/13/10/11/2014234/ [linux.srad.jp]
外部だとこれとか
UNIX開発者のバックドアを思い出せ
https://www.itmedia.co.jp/enterprise/0404/14/epi04.html [itmedia.co.jp]
- Re: (スコア:0)
  
  by Anonymous Coward
  
  逆に今回のは事前にN○Aあたりからの警告がきてたんじゃないかと妄想
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    自分所のバックドアに問題なければ何も言ってこないと思うが。
どうせやるなら (スコア:0)

by Anonymous Coward on 2021年04月26日 12時16分 (#4020658)

OpenBSDとかで比較実験してほしかった
- Re:どうせやるなら (スコア:2, 参考になる)
  
  by Anonymous Coward on 2021年04月26日 15時32分 (#4020826)
  
  BSD系（Linux抜き）に複数の脆弱性を通知したとき、修正までの時間を評価した発表は以前見た（リンクみつけた）。
  https://www.youtube.com/watch?v=rRg2vuwF1hY [youtube.com] (44:20~)
  その時の早さは　（重大度が違うはずなので、一律には評価できないですが）
  1. NetBSD (１夜で全て修正。発表者もびっくり）
  2. OpenBSD（レスポンスまで約１週間、その後数日中に全て修正。Theoが休暇中のハンデあり）
  3. FreeBSD（レスポンスまで約１週間、発表時では３件修正。他はどうなっているか謎）
  注意としては、いずれも開発ブランチでのことなので、リリースに降って来るまでにかかった時間はわからないですね。
  でも結論ではOpenBSDのコードが一番綺麗で、NetBSDが一番汚い。FreeBSDが中間って評価みたいです。
  実際今回見つけたバグの数もそれに比例したみたい（Open:~25, Free:~30, Net:~60）。
  個人的に、NetBSDの中の人がある意味すごいと思った。
  
  シェア
  
  親コメント
目がいっぱいあったからこうして気付けた (スコア:0)

by Anonymous Coward on 2021年04月26日 12時22分 (#4020665)

目がいっぱいあったのに気付かずにマージされた
どっちやろか
- Re: (スコア:0)
  
  by Anonymous Coward
  
  発覚するには十分だったけど、マージを防げるほどには十分な数の目玉じゃなかった
  - Re:目がいっぱいあったからこうして気付けた (スコア:1)
    
    by Anonymous Coward on 2021年04月26日 13時29分 (#4020719)
    
    今回の件はマージなんぞされてねぇけど目玉ついてるか？
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    発覚するには十分だったけど、マージを防げるほどには十分な数の目玉じゃなかった
    査読者A「お？なんか妙なの混ざってる？ま、誰か止めるだろう」
    査読者B「おいおいこれはねーべや、コミッターに弾かれるやろ」
    査読者C「（ﾟ ρ ﾟ )ボ～。。。」
    コミッター「みんなでチェックしているし報告ないから問題ないはず」
    こんな感じ？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      それなんて現場猫
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ML読む限りは後者っぽいね
  沢山の目玉があるからヘーキとか本気で言ってる奴がいたらそいつの目は節穴
  - - Re:目がいっぱいあったからこうして気付けた (スコア:2, すばらしい洞察)
      
      by Anonymous Coward on 2021年04月26日 20時36分 (#4021034)
      
      いや、節穴なんじゃなくて、この人はマージとコミットの区別がついていないのだろう・・・可愛そうな人
      
      シェア
      
      親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  問題があったと確定してる変更はマージされてない。
  信頼できない組織と認定されたから、過去の問題ないだろうと考えられてる変更を一旦すべてリバートして、信頼できない相手からのパッチとして厳しめの再レビューやるって話。
穏やかなLinus (スコア:0)

by Anonymous Coward on 2021年04月26日 12時22分 (#4020667)

食後で気持ちが満ち足りていたか、「カーネル開発コミュニティが、悪意あるコードを変更を審査する能力があるかどうか」Linus自身も疑っているかどっちか。

＃通勤中にミネソタ大学が謝ったというニュースの見出しだけ見たけど、見つからない。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  https://gigazine.net/news/20210426-linux-university-of-minnesota/ [gigazine.net]
- Re: (スコア:0)
  
  by Anonymous Coward
  
  実はLinusは知ってたとか。
- - - - Re:（オフトピ）視漢? (スコア:1)
        
        by nekopon (1483) on 2021年04月26日 17時45分 (#4020929) 日記
        
        あまりのユルさに弛緩しております (ﾏﾃ
        
        シェア
        
        親コメント
焼肉屋のタレに唾をはくのと同じ (スコア:0)

by Anonymous Coward on 2021年04月26日 12時44分 (#4020686)

ただのテロ
- 技術的にも倫理的にも褒めるところがない (スコア:5, 興味深い)
  
  by annoymouse coward (11178) on 2021年04月26日 12時31分 (#4020671) 日記
  
  意義なんて無いですよ。技術的にも・倫理的にも褒めるところがありません。
  技術的な点でいうと、この実験はたとえば以下のようなC言語で書かれたカーネルのソースに対して
  ----
  free(p);
  ----
  たとえばこんな２行に変更したり
  ----
  if (p)
  free(p);
  ----
  こんな３行に変更するだけの
  ----
  if (p)
  　return;
  free(p);
  ----
  パッチを大量に投稿しただけなのです。
  悪意のあるコードを差し込むとかそう言うレベルには達しておらず、ただのイタズラ、ただの迷惑行為でしかありません。
  こんなパッチでは実験はおろか、「興味深い」とか「意義がある」議論も難しいと思います。
  次に倫理面ですが、被験者の同意を取らずに被験者実験をおこなった、という1点だけで
  研究倫理違反、研究業界から追放されてもおかしくないレベルの大失態です
  たとえば「ヘルシンキ宣言」という宣言があります。
  https://ja.wikipedia.org/wiki/%E3%83%98%E3%83%AB%E3%82%B7%E3%83%B3%E3%... [wikipedia.org]
  端的にいえば「被験者となる人間のこと・気持ちを尊重しましょうね」って話です。
  ヘルシンキ宣言は研究に携わる人なら知らない人は居ない話で（知らないという人が居たらその人はモグリの研究者）
  ヘルシンキ宣言を知らなくても
  普通なら「こんなことをしたらカーネルコミュニティの人は不快に思うはず」と予想できるはずです。
  カーネルコミュニティの人からみたら、こんなの時間の無駄でしかないからです。
  「Linuxだからこそ対象にふさわしい。」こんな馬鹿なことは言わないでください。
  Linuxはソースコードじゃありません。開発陣、つまり心を持った人間のコミュニティなのです。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ただのイタズラ、ただの迷惑行為レベルの内容でもコミットされちゃうのか…
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      そりゃコミットはされるよ。誰からでも受け付けてるもん。
      レビューで弾くからマージはされない（はず）だけど。
  - Re: (スコア:0)
    
    by nekopon (1483)
    
    つまり心を持った人間のコミュニティなのです。
    だからやったんだと思うね。pakki001@umn.edu says:
    I will not be sending any more patches due to the attitude that is not only
    unwelcome but also intimidating to newbies and non experts.
    - Re:技術的にも倫理的にも褒めるところがない (スコア:2)
      
      by 90 (35300) on 2021年04月26日 17時03分 (#4020897) 日記
      
      その返しは傍から見たらサイコパスなんスよ。
      
      シェア
      
      親コメント
      - Re:技術的にも倫理的にも褒めるところがない (スコア:2)
        
        by 90 (35300) on 2021年04月28日 8時39分 (#4021984) 日記
        
        小学生じゃないんだから。
        
        シェア
        
        親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    細かいですけど、
    if (p)
    　return;
    free(p);
    が本当ならメモリリークしているので悪意ありますね
    if (!p)
    　return;
    free(p);
    なら、（後続処理がなければ）害はないですが
    - Re:技術的にも倫理的にも褒めるところがない (スコア:1)
      
      by hix (3507) on 2021年04月26日 13時43分 (#4020733) 日記
      
      ある程度の真実を埋め込んでおけば嘘もよりバレ難いという意図かも。
      
      シェア
      
      親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    そういうcommitって、ある程度自動で判別できそうな気がするけど全部目で見てるのかな。
  - - Re:技術的にも倫理的にも褒めるところがない (スコア:1)
      
      by Anonymous Coward on 2021年04月26日 14時02分 (#4020745)
      
      頼まれたわけでも公的な手順を踏んだわけでもなく、第三者が私的な興味でやったものを検査とは言わない。
      それとも何か、救急搬送や病院が機能しているか検査したいと思ったら、お前さんのことぶっ刺して119番してみるとかもOKなのか？
      
      シェア
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      一般企業でもその企業が承認していないのに抜き打ちチェックはやらないだろ
    - - Re:技術的にも倫理的にも褒めるところがない (スコア:2)
        
        by 90 (35300) on 2021年04月26日 17時21分 (#4020914) 日記
        
        犯罪に近いというか、日本の法律だと「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」にあたると思うんですよね。
        
        シェア
        
        親コメント
- Re:結局すぐに検出できなかった？ (スコア:1)
  
  by Anonymous Coward on 2021年04月26日 12時21分 (#4020662)
  
  だからと言って、許可なく本番環境でペネトレーションテストしてはいかんよ。
  そもそもセキュリティホールがあったら困る、という部分自体が、道義とか倫理・法律から来るソフトウェアへの要求なので、思考実験ならともかく現実の行為に対して、道義抜きに語るのがナンセンスでは。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    最初からLinuxなんて毎日許可なく本番環境でペネトレーションテストされてるようなもんだからなぁ
    世界中の善人のふりした悪人とか善人のふりした無能者からクソみたいなパッチが次々送られてくるのを選別してるわけで
    悪人のふりした悪人が1つパッチを送ってくるくらい対応できずにどうするよという話。
    だからリーナスもそんなには怒ってないんだろ。彼が怒らなきゃならないバカがそれこそ無数にいるから。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      その理屈ならこの研究者とこの実験を許した大学が有象無象のバカあるいは悪人と同様に怒られたってだけでは……。そこで言い逃れしようとするから余計怒られるんじゃん。
- - - Re:結局すぐに検出できなかった？ (スコア:1)
      
      by nekopon (1483) on 2021年04月27日 8時32分 (#4021286) 日記
      
      そう、ミネソタ大がコミットした分を全部… (すごい手間)
      
      シェア
      
      親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  まともチェックしてるからハネたけど、後になって故意だったと分かって激おこ！って経緯でしょう？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  普段からきちんとトイレ掃除していたとしても、排泄物を巻き散らかすのは勘弁して欲しいだろ？
  さらに現在は、立って小便せずに座ってやれとまで言われているはず。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    トイレ掃除サボってるのがバレるから騒いでるだけちゃうんかい
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      だからトイレ掃除ちゃんとやってても、綺麗に使えってのが社会通念でしょ
      それに加えて、わざと排泄物巻き散らかすとか便器破壊するとかすれば、怒られるなり通報されて然るべき
      今回は更に IRB（倫理審査）を通っているので、大学の審査官が破壊行為にお墨付き与えている状態で、そのコミュニティが排除されるのは当然
- Re: (スコア:0)
  
  by Anonymous Coward
  
  君はまともに日本語が読めないと白状してるようなもん
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「まともにチェックしてるからハネたけど、後になって故意だったと分かったので
  そんな奴がコミットしたコードは全部再チェックしないと信用できない」
  なのが「我々の時間を無駄にする行為」
  - - - Re:まともにチェックしてないって白状してるようなもん (スコア:1)
        
        by Anonymous Coward on 2021年04月26日 14時57分 (#4020788)
        
        信用が瓦解してるのに特に何もせずもう大丈夫だ信じてくれって言われても聞く耳は持てないなァ
        
        シェア
        
        親コメント
- Re:コミットをコミットして (スコア:1)
  
  by nekopon (1483) on 2021年04月26日 15時23分 (#4020816) 日記
  
  そんなコミぃったセリフは解析できん
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

有意義だからといってなんでもやっていいわけではない (スコア:3, すばらしい洞察)

Re: (スコア:0)

Re:有意義だからといってなんでもやっていいわけではない (スコア:5, 興味深い)

Re:有意義だからといってなんでもやっていいわけではない (スコア:1)

Re: (スコア:0)

Re:有意義だからといってなんでもやっていいわけではない (スコア:2)

Re:有意義だからといってなんでもやっていいわけではない (スコア:1)

オープンソース版スラド (スコア:2, おもしろおかしい)

関連ストーリー (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

どうせやるなら (スコア:0)

Re:どうせやるなら (スコア:2, 参考になる)

目がいっぱいあったからこうして気付けた (スコア:0)

Re: (スコア:0)

Re:目がいっぱいあったからこうして気付けた (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:目がいっぱいあったからこうして気付けた (スコア:2, すばらしい洞察)

Re: (スコア:0)

穏やかなLinus (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:（オフトピ）視漢? (スコア:1)

焼肉屋のタレに唾をはくのと同じ (スコア:0)

技術的にも倫理的にも褒めるところがない (スコア:5, 興味深い)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:技術的にも倫理的にも褒めるところがない (スコア:2)

Re:技術的にも倫理的にも褒めるところがない (スコア:2)

Re: (スコア:0)

Re:技術的にも倫理的にも褒めるところがない (スコア:1)

Re: (スコア:0)

Re:技術的にも倫理的にも褒めるところがない (スコア:1)

Re: (スコア:0)

Re:技術的にも倫理的にも褒めるところがない (スコア:2)

Re:結局すぐに検出できなかった？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re:結局すぐに検出できなかった？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:まともにチェックしてないって白状してるようなもん (スコア:1)

Re:コミットをコミットして (スコア:1)