• IT-Karriere:
  • Services:

Linux: Kernel-Community blockiert Uni nach eingeschleusten Bugs

Forscher hatten versucht, mutwillig Fehler im Linux-Kernel unterzubringen. Die Kernel-Community reagiert teils ungehalten.

Artikel veröffentlicht am ,
Mit einer fragwürdigen Forschungsarbeit bringt ein kleines Forschungsteam die Kernel-Community gegen sich auf.
Mit einer fragwürdigen Forschungsarbeit bringt ein kleines Forschungsteam die Kernel-Community gegen sich auf. (Bild: Liam Quinn/CC-BY-SA 2.0)

Der Betreuer der stabilen Linux-Kernel-Zweige, Greg Kroah-Hartman, hat sich dazu entschieden, sämtliche Beiträge zum Linux-Kernel der University of Minnesota (UMN) zu blockieren, wie er auf der Mailingliste des Projekts angekündigt hat. Darüber hinaus hat der langjährige Kernel-Entwickler auch sämtliche bereits eingepflegte Änderungen zurückgenommen, die über Adressen der UMN beigetragen wurden. Der Grund für diesen Schritt sind offenbar Arbeiten eines Forschungsteams, das als Teil einer Untersuchung versucht hat, absichtlich Fehler in den Quellcode des Linux-Kernels einzuschleusen.

Stellenmarkt
  1. über Hays AG, Dortmund
  2. Cloudogu GmbH, Braunschweig

Die beiden Forscher der UMN, Qiushi Wu und Kangjie Lu, haben zuvor bereits ihre Untersuchung mit dem Titel "Über die Machbarkeit der heimlichen Einführung von Schwachstellen in Open-Source-Software durch geheuchelte Beiträge" auf Github veröffentlicht. Eine Präsentation der Ergebnisse ist zudem auf dem kommenden IEEE Symposium on Security and Privacy Ende Mai vorgesehen.

Die in der Arbeit beschriebenen Patches wurden offenbar bereits vor einigen Monaten zur Aufnahme in den Linux-Kernel vorgeschlagen und einige Betreuer haben diese wohl auch zunächst akzeptiert. Die Forscher weisen in einer Stellungnahme (PDF) jedoch explizit darauf hin, dass diese den betroffenen Betreuern des schadhaften Codes Bescheid gegeben hätten und die Patches deshalb nie in Entwicklungszweigen des Linux-Kernels gelandet seien. Es seien also auch nie Fehler oder Sicherheitslücken der Forscher in den Linux-Kernel eingepflegt worden.

Ausgangspunkt der Arbeiten war demnach die Beobachtung, dass einige Patches der Kernel-Community, die Fehler beheben sollen, wiederum eigene, zunächst lange unerkannte andere Fehler in den Code einführen. Dies haben die beiden Wissenschaftler nun wohl versucht, mutwillig und mit speziell präparierten Patches nachzustellen.

Neue kaputte Patches führen zum Bann

Golem Akademie
  1. OpenShift Installation & Administration
    14.-16. Juni 2021, online
  2. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
Weitere IT-Trainings

Das beteiligte Forschungsteam hat darüber hinaus nun erneut versucht, Patches in den Linux-Kernel einzupflegen, deren Qualität jedoch derart schlecht war, dass dies direkt für Diskussionen gesorgt hat. Kroah-Hartman schreibt dazu: "Sie und Ihre Gruppe haben öffentlich zugegeben, bewusst fehlerhafte Patches einzuschicken, um zu sehen, wie die Kernel-Gemeinschaft darauf reagieren würde, und haben eine Arbeit veröffentlicht, die auf dieser Arbeit basiert. Jetzt reichen Sie wieder eine neue Serie von offensichtlich fehlerhaften Patches ein, was soll ich also von so etwas halten?"

Der Kernel-Entwickler Kroah-Hartman geht demnach wohl davon aus, dass es sich dabei erneut um eine Art Studie oder Untersuchung handelt, die die Kernel-Community testen soll, was bei Kroah-Hartman nicht gut ankommt. Entsprechend deutlich schreibt der Betreuer: "Unsere Community schätzt es nicht, wenn mit ihr experimentiert wird und sie 'testet', indem man bekannte Patches einreicht, die entweder absichtlich nichts tun oder absichtlich Fehler einführen".

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Vorgehen zeigt Probleme der Kernel-Entwicklung

Die nun zunächst durch Kroah-Hartman zurückgenommen Patches von Beitragenden der UMN werden erneut einzeln geprüft und bei einer positiven Beurteilung wieder in den Linux-Kernel eingepflegt. Dieses Vorgehen kommentiert der Kryptograph und Google-Angestellte Filippo Valsorda auf Twitter und schreibt: "Möglicherweise ist das eine unpopuläre Meinung, aber ich finde, das 'nur Beiträge einpflegen, nachdem sie auf ihre Gültigkeit überprüft wurden' sollte vielleicht die Standardrichtlinie der meistbenutzten Software der Welt sein."

Valsorda kritisiert damit den Review-Prozess des Linux-Kernels, denn immerhin war es den Forschern ja theoretisch möglich, Sicherheitslücken einzuschleusen, ohne dass dies den Betreuern der Community zunächst aufgefallen wäre. Ähnlich argumentiert auch die Security-Spezialistin Katie Moussouris, die die Untersuchung als "interessant" beschreibt und als "wertvoll" aus der Perspektive der "nationalen/globalen Sicherheit". Das Verhalten der Linux-Kernel-Community bezeichnet Moussouris zudem als "emotionale Überreaktion".

Die Führung des Informatik-Instituts der University of Minnesota schreibt in einer Stellungnahme zu den Vorfällen: "Wir nehmen diese Situation sehr ernst. Wir haben Forschungen in diese Richtung sofort ausgesetzt. Wir werden die Forschungsmethode und den Prozess, durch den diese Forschungsmethode genehmigt wurde, untersuchen, geeignete Abhilfemaßnahmen festlegen und uns gegen zukünftige Probleme absichern, falls erforderlich."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 9,99€ (Vergleichspreis 17,21€)
  2. 44,99€ (Vergleichspreis 56,61€)
  3. 229,99€ + Versand (Vergleichspreis ca. 300€)

janoP 23. Apr 2021 / Themenstart

Nachdem sie es bekannt gemacht haben. Sowohl nach dem Golem-Artikel, als auch nach dem...

janoP 23. Apr 2021 / Themenstart

Zum Glück tu ich das nicht, wie aus meinen Beiträgen an mehreren Stellen klar und...

Hagebuttentee 23. Apr 2021 / Themenstart

Das eigene vergehen darzustellen als waere es der fehler der anderen kann unreifes...

wurstdings 23. Apr 2021 / Themenstart

Ich hoffe doch du schreibst darüber deine Doktorarbeit, weil sonst wäre das ja kriminell!!!!

Faktenschleuder 23. Apr 2021 / Themenstart

Hä? Also auch wenn das Verklagen von Leuten die Bugs melden, natürlich total daneben ist...

Kommentieren


Folgen Sie uns
       


Samsung QLED 8K Q800T - Test

Samsungs preisgünstiger 8K-Fernseher hat eine tolle Auflösung, schneidet aber insgesamt nicht so gut ab.

Samsung QLED 8K Q800T - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /