パスワードを忘れた? アカウント作成
15269326 story
Linux

ミネソタ大研究者、研究のためとしてLinuxカーネルに意図的に脆弱性コードをコミット 130

ストーリー by nagazou
疑心暗鬼発生 部門より
4月21日、Linuxカーネルの開発コミュニティーで、ミネソタ大学の研究者らがLinuxカーネルのソースコードに既知のセキュリティ上の欠陥のあるコードをコミットしていたとして、Linuxカーネルへの貢献を禁止する処置が行われたことが話題になっている(lore.kernel.orgのLKMLアーカイブThe VergePhoronixGIGAZINEITmedia)。

この問題に関与した研究者は論文を発表し、カーネル開発コミュニティが、悪意あるコードを変更を審査する能力があるかどうかを試すために、意図的に実行したものだとしている(GitHub 論文[PDF])。コミュニティは同大学からの新しいコードを受け入れないことに加え、過去に提出されたすべてのコードを削除、再審査しているという。開発者コミュニティ側のGreg Kroah-Hartmanは、我々の時間を無駄にする行為だとして批判している。

なお、Tom's Hardwareの記事によれば、Linus Torvalds氏はの反応は「私は本当に何を言うべきかわからない。技術的には大したことではないと思うが、コミュニティの人々は腹を立てており、明らかに信頼を侵害したと思う」と予想よりも穏やかなものであったらしい(Tom's Hardware)。

あるAnonymous Coward 曰く、

ポストモダン思想におけるソーカル事件みたいなことを再現したかったのかな、とも思うが、影響範囲がひどいからやってはダメ。ぜったい。

情報元へのリンク

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年04月26日 12時16分 (#4020657)

    僕の家で一般家屋の燃焼実験なんてされたら怒り狂うよ。
    たとえ有意義だとしてもね。

  • オープンソース版スラド (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2021年04月26日 12時18分 (#4020660)

    > 悪意あるコードを変更を審査する能力があるかどうかを試すために、意図的に実行したものだとしている

    「悪意ある変更を検出する能力があるかどうか試すため、意図的にニュースを改変」とすればまんまスラドですやん

  • by Anonymous Coward on 2021年04月26日 12時08分 (#4020654)

    Linux、2003年にバックドアを仕掛けられそうになっていた
    https://linux.srad.jp/story/13/10/11/2014234/ [linux.srad.jp]

    外部だとこれとか
    UNIX開発者のバックドアを思い出せ
    https://www.itmedia.co.jp/enterprise/0404/14/epi04.html [itmedia.co.jp]

    • by Anonymous Coward

      逆に今回のは事前にN○Aあたりからの警告がきてたんじゃないかと妄想

      • by Anonymous Coward

        自分所のバックドアに問題なければ何も言ってこないと思うが。

  • by Anonymous Coward on 2021年04月26日 12時16分 (#4020658)

    OpenBSDとかで比較実験してほしかった

    • by Anonymous Coward on 2021年04月26日 15時32分 (#4020826)

      BSD系(Linux抜き)に複数の脆弱性を通知したとき、修正までの時間を評価した発表は以前見た(リンクみつけた)。
      https://www.youtube.com/watch?v=rRg2vuwF1hY [youtube.com] (44:20~)

      その時の早さは (重大度が違うはずなので、一律には評価できないですが)
      1. NetBSD (1夜で全て修正。発表者もびっくり)
      2. OpenBSD(レスポンスまで約1週間、その後数日中に全て修正。Theoが休暇中のハンデあり)
      3. FreeBSD(レスポンスまで約1週間、発表時では3件修正。他はどうなっているか謎)

      注意としては、いずれも開発ブランチでのことなので、リリースに降って来るまでにかかった時間はわからないですね。

      でも結論ではOpenBSDのコードが一番綺麗で、NetBSDが一番汚い。FreeBSDが中間って評価みたいです。
      実際今回見つけたバグの数もそれに比例したみたい(Open:~25, Free:~30, Net:~60)。

      個人的に、NetBSDの中の人がある意味すごいと思った。

      親コメント
  • by Anonymous Coward on 2021年04月26日 12時22分 (#4020665)

    目がいっぱいあったのに気付かずにマージされた

    どっちやろか

    • by Anonymous Coward

      発覚するには十分だったけど、マージを防げるほどには十分な数の目玉じゃなかった

      • by Anonymous Coward on 2021年04月26日 13時29分 (#4020719)

        今回の件はマージなんぞされてねぇけど目玉ついてるか?

        親コメント
      • by Anonymous Coward

        発覚するには十分だったけど、マージを防げるほどには十分な数の目玉じゃなかった

        査読者A「お?なんか妙なの混ざってる?ま、誰か止めるだろう」
        査読者B「おいおいこれはねーべや、コミッターに弾かれるやろ」
        査読者C「( ゚ ρ ゚ )ボ~。。。」
        コミッター「みんなでチェックしているし報告ないから問題ないはず」

        こんな感じ?

    • by Anonymous Coward

      ML読む限りは後者っぽいね
      沢山の目玉があるからヘーキとか本気で言ってる奴がいたらそいつの目は節穴

    • by Anonymous Coward

      問題があったと確定してる変更はマージされてない。
      信頼できない組織と認定されたから、過去の問題ないだろうと考えられてる変更を一旦すべてリバートして、信頼できない相手からのパッチとして厳しめの再レビューやるって話。

  • by Anonymous Coward on 2021年04月26日 12時22分 (#4020667)
    食後で気持ちが満ち足りていたか、「カーネル開発コミュニティが、悪意あるコードを変更を審査する能力があるかどうか」Linus自身も疑っているかどっちか。

    #通勤中にミネソタ大学が謝ったというニュースの見出しだけ見たけど、見つからない。
  • by Anonymous Coward on 2021年04月26日 12時44分 (#4020686)

    ただのテロ

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...