Caos nel mondo Linux, patch introducono vulnerabilità nel kernel: c'è del marcio in Minnesota?


Meridio avatar
Mauro Rotondi

 

C'è un "caso" che sta scuotendo la comunità Linux e che sta facendo discutere, almeno per la sua singolarità. La University of Minnesota (UMN) è stata "bannata", ossia non potrà più partecipare allo sviluppo del kernel proponendo patch. La decisione, comunicata all'ateneo dal manutentore del kernel Linux Greg Kroah-Hartman, vede la sua ragion d'essere dopo che i ricercatori dell'Università hanno intenzionalmente inviato patch con codice vulnerabile per il ramo stabile del kernel.

Non si tratta ovviamente di un'accusa campata per aria, ma di qualcosa di documentato, che fa riferimento a un documento di ricerca intitolato "Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits" e pubblicato a febbraio in cui i ricercatori dell'Università del Minnesota spiegano di aver intenzionalmente introdotto falle di sicurezza (nello specifico Use-After-Free) nel ramo principale del kernel Linux. Un atto a fini di ricerca, ma che non è andato giù a chi lavora quotidianamente per rendere il mondo open source sempre più sicuro e credibile.

Il problema è che dopo la pubblicazione del documento, i ricercatori della University of Minnesota hanno inviato un'altra ondata di patch creata automaticamente da un presunto tool di analisi statica. Il contenuto di questi commit si è rivelato senza valore. Come si suol dire, è stata la classica goccia che ha fatto traboccare il vaso, perché i manutentori si sono trovati a perdere tempo prezioso per verificare del codice senza arte né parte. Di conseguenza Greg Kroah-Hartman ha deciso di calare la mannaia, impedendo che i ricercatori dell'ateneo contribuissero in qualsiasi modo al kernel.

"Pochi minuti con chiunque abbia un'apparenza di conoscenza di linguaggio C porta a capire che i vostri contributi NON fanno nulla, quindi pensare che li ha creati uno strumento, e poi che avete pensato che fossero una valida "correzione" è totalmente negligente da parte vostra, non nostra. Siete voi i colpevoli, non è nostro compito essere i soggetti di prova di uno strumento che avete creato... Per questo motivo, ora dovrò bandire tutti i contributi futuri dalla vostra Università ed eliminare i contributi precedenti, poiché sono stati ovviamente presentati in malafede con l'intento di creare problemi".

Tutti i commit provenienti da indirizzi @umn.edu sono quindi stati rimossi, anche perché l'ateneo non ha fatto nulla per fermare i ricercatori dal proseguire sulla loro strada. "È stato riscontrato che i commit dagli indirizzi @umn.edu sono stati inviati in 'malafede' per provare a testare la capacità della comunità di rivedere cambiamenti notoriamente dannosi al kernel. Per questo motivo, tutti gli invii da questo gruppo devono essere rimossi dal ramo del kernel e dovranno essere riesaminati di nuovo per determinare se sono effettivamente una soluzione valida", ha spiegato Hartman alla comunità. "Fino al completamento del lavoro, [rimuoveremo] queste modifiche per garantire che non vengano introdotti problemi nel codice base", ha concluso Kroah-Hartman.


Screen: Bleeping Computer

Poteva finire qui la vicenda? Nient'affatto. Il ricercatore Aditya Pakki dell'UMN ha chiesto al manutentore di astenersi dal fare accuse che rasentano la calunnia. "Greg, vi chiedo rispettosamente di cessare e desistere dal fare accuse selvagge che rasentano la calunnia. Queste patch sono state inviate come parte di un nuovo analizzatore statico che ho scritto e la sua sensibilità ovviamente non è eccezionale. Ho inviato patch nella speranza di ottenere dei feedback. Non siamo esperti nel kernel di Linux e fare ripetutamente queste affermazioni è disgustoso. Ovviamente, abbiamo compiuto un passo falso, ma i tuoi pregiudizi sono così forti che fai accuse senza merito né ci dai alcun beneficio del dubbio. Non invierò più patch per l'atteggiamento non solo sgradito ma anche intimidatorio per neofiti e non esperti".

Kroah-Hartman ha risposto in modo lapidario. "Se desideri lavorare in questo modo, ti suggerisco di trovare una comunità diversa su cui eseguire i tuoi esperimenti, non sei il benvenuto qui". Ultimo atto? Macché, il dibattito ha ovviamente investito la comunità, tra favorevoli (molti) e contrari (alcuni).

Brad Spengler, presidente di Open Source Security Inc., che ha definito eccessiva la reazione da parte dei manutentori del kernel Linux. "[…] annullare i commit inviati ben prima di qualsiasi ricerca, rimuovere i controlli CAP_SYS_ADMIN che sono stati aggiunti, ecc ... Questo è da pazzi. […] reintrodurre consapevolmente dozzine di vulnerabilità per 'prendere posizione'? Andiamo", ha scritto Spengler su Twitter.

Jered Floyd di Red Hat la vede diversamente. "Questo è peggio di essere oggetto di un esperimento; è come dire che sei un 'ricercatore di sicurezza' recandoti in un negozio di alimentari e tagliando i tubi dei freni su tutte le auto (all'esterno, ndr) per vedere quante persone si schiantano quando se ne vanno. È enormemente immorale".

 

Fonte: hwupgrade.it

Condividi