Linux: Kernel-Community blockiert Uni nach eingeschleusten Bugs

Forscher hatten versucht, mutwillig Fehler im Linux-Kernel unterzubringen. Die Kernel-Community reagiert teils ungehalten.

Artikel veröffentlicht am ,
Mit einer fragwürdigen Forschungsarbeit bringt ein kleines Forschungsteam die Kernel-Community gegen sich auf.
Mit einer fragwürdigen Forschungsarbeit bringt ein kleines Forschungsteam die Kernel-Community gegen sich auf. (Bild: Liam Quinn/CC-BY-SA 2.0)

Der Betreuer der stabilen Linux-Kernel-Zweige, Greg Kroah-Hartman, hat sich dazu entschieden, sämtliche Beiträge zum Linux-Kernel der University of Minnesota (UMN) zu blockieren, wie er auf der Mailingliste des Projekts angekündigt hat. Darüber hinaus hat der langjährige Kernel-Entwickler auch sämtliche bereits eingepflegte Änderungen zurückgenommen, die über Adressen der UMN beigetragen wurden. Der Grund für diesen Schritt sind offenbar Arbeiten eines Forschungsteams, das als Teil einer Untersuchung versucht hat, absichtlich Fehler in den Quellcode des Linux-Kernels einzuschleusen.

Stellenmarkt
  1. IT-Spezialist als Software-Entwickler (m/w/d)
    McPaper AG, Berlin
  2. Product Designer UX/UI (m/f/d)
    ToolTime GmbH, Berlin
Detailsuche

Die beiden Forscher der UMN, Qiushi Wu und Kangjie Lu, haben zuvor bereits ihre Untersuchung mit dem Titel "Über die Machbarkeit der heimlichen Einführung von Schwachstellen in Open-Source-Software durch geheuchelte Beiträge" auf Github veröffentlicht. Eine Präsentation der Ergebnisse ist zudem auf dem kommenden IEEE Symposium on Security and Privacy Ende Mai vorgesehen.

Die in der Arbeit beschriebenen Patches wurden offenbar bereits vor einigen Monaten zur Aufnahme in den Linux-Kernel vorgeschlagen und einige Betreuer haben diese wohl auch zunächst akzeptiert. Die Forscher weisen in einer Stellungnahme (PDF) jedoch explizit darauf hin, dass diese den betroffenen Betreuern des schadhaften Codes Bescheid gegeben hätten und die Patches deshalb nie in Entwicklungszweigen des Linux-Kernels gelandet seien. Es seien also auch nie Fehler oder Sicherheitslücken der Forscher in den Linux-Kernel eingepflegt worden.

Ausgangspunkt der Arbeiten war demnach die Beobachtung, dass einige Patches der Kernel-Community, die Fehler beheben sollen, wiederum eigene, zunächst lange unerkannte andere Fehler in den Code einführen. Dies haben die beiden Wissenschaftler nun wohl versucht, mutwillig und mit speziell präparierten Patches nachzustellen.

Neue kaputte Patches führen zum Bann

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22.–23. März 2022, Virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Das beteiligte Forschungsteam hat darüber hinaus nun erneut versucht, Patches in den Linux-Kernel einzupflegen, deren Qualität jedoch derart schlecht war, dass dies direkt für Diskussionen gesorgt hat. Kroah-Hartman schreibt dazu: "Sie und Ihre Gruppe haben öffentlich zugegeben, bewusst fehlerhafte Patches einzuschicken, um zu sehen, wie die Kernel-Gemeinschaft darauf reagieren würde, und haben eine Arbeit veröffentlicht, die auf dieser Arbeit basiert. Jetzt reichen Sie wieder eine neue Serie von offensichtlich fehlerhaften Patches ein, was soll ich also von so etwas halten?"

Der Kernel-Entwickler Kroah-Hartman geht demnach wohl davon aus, dass es sich dabei erneut um eine Art Studie oder Untersuchung handelt, die die Kernel-Community testen soll, was bei Kroah-Hartman nicht gut ankommt. Entsprechend deutlich schreibt der Betreuer: "Unsere Community schätzt es nicht, wenn mit ihr experimentiert wird und sie 'testet', indem man bekannte Patches einreicht, die entweder absichtlich nichts tun oder absichtlich Fehler einführen".

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Vorgehen zeigt Probleme der Kernel-Entwicklung

Die nun zunächst durch Kroah-Hartman zurückgenommen Patches von Beitragenden der UMN werden erneut einzeln geprüft und bei einer positiven Beurteilung wieder in den Linux-Kernel eingepflegt. Dieses Vorgehen kommentiert der Kryptograph und Google-Angestellte Filippo Valsorda auf Twitter und schreibt: "Möglicherweise ist das eine unpopuläre Meinung, aber ich finde, das 'nur Beiträge einpflegen, nachdem sie auf ihre Gültigkeit überprüft wurden' sollte vielleicht die Standardrichtlinie der meistbenutzten Software der Welt sein."

Valsorda kritisiert damit den Review-Prozess des Linux-Kernels, denn immerhin war es den Forschern ja theoretisch möglich, Sicherheitslücken einzuschleusen, ohne dass dies den Betreuern der Community zunächst aufgefallen wäre. Ähnlich argumentiert auch die Security-Spezialistin Katie Moussouris, die die Untersuchung als "interessant" beschreibt und als "wertvoll" aus der Perspektive der "nationalen/globalen Sicherheit". Das Verhalten der Linux-Kernel-Community bezeichnet Moussouris zudem als "emotionale Überreaktion".

Die Führung des Informatik-Instituts der University of Minnesota schreibt in einer Stellungnahme zu den Vorfällen: "Wir nehmen diese Situation sehr ernst. Wir haben Forschungen in diese Richtung sofort ausgesetzt. Wir werden die Forschungsmethode und den Prozess, durch den diese Forschungsmethode genehmigt wurde, untersuchen, geeignete Abhilfemaßnahmen festlegen und uns gegen zukünftige Probleme absichern, falls erforderlich."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


janoP 23. Apr 2021

Nachdem sie es bekannt gemacht haben. Sowohl nach dem Golem-Artikel, als auch nach dem...

janoP 23. Apr 2021

Zum Glück tu ich das nicht, wie aus meinen Beiträgen an mehreren Stellen klar und...

Hagebuttentee 23. Apr 2021

Das eigene vergehen darzustellen als waere es der fehler der anderen kann unreifes...

wurstdings 23. Apr 2021

Ich hoffe doch du schreibst darüber deine Doktorarbeit, weil sonst wäre das ja kriminell!!!!

Faktenschleuder 23. Apr 2021

Hä? Also auch wenn das Verklagen von Leuten die Bugs melden, natürlich total daneben ist...



Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /