Исследователям удалось добавить в ядро Linux уязвимый код

[ilikethat]

Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.

В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.

ссылка

Что думаете по этому поводу?

[WWolf]

оригинально

[madesta]

Что думаете по этому поводу?

Пожалуй, соглашусь с одним комментариев по ссылке на источник: "Эх, не те нынче времена уже, когда Линус лично каждую строчку каждого патча читал,не те."

[hellonet]

Исследователи из университета Миннесоты — Цюши У и Канцзе Лу

Хоть не индусы, которые пишут код Винды

[ilikethat]

hellonet, да какая разница, главное ребята показали, что
любой левый чувак может добавить в ядро Linux бэкдоры/уязвимости/закладки;
возник вопрос, сколько таких закладок уже там есть;
безопасность открытого ПО относительно проприетарного это миф.

А вспоминая о скандалах в сообществе открытого ПО, да того же Столлмана,
кажется, что в текущем виде линукс скоро существовать перестанет.
Такая ниша рынка - лакомый кусок. Видимо кто-то под себя решил подгрести.

[madesta]

сколько таких закладок уже там есть

Не по теме

У нас в стране на каждый лье
По сто шпионов Ришелье,
Мигнет француз - известно кардиналу.
Шпионы там, шпионы здесь,
Без них не встать, без них не сесть.
Вздохнет француз - известно кардиналу.

[chiv]

НуачО. Я могу загрузить вирус в базу моей конторы. А еще могу растрепать на весь мир все коммерческие тайны. Чуваки воспользовались доверием че-та там загрузили. МалаЦы. "безопасность открытого ПО относительно проприетарного это миф" - серьезно? Чет я не припомню уже когда ловил банер или вообще вирусняк. А на спам типа "я вскрыл вашу систему, дайте денег" - ржунимагу. "Любой левый чувак" может накатать вирь под масдай. А если Вы так уверены - так заебеньте нам на потеху какой-никакой бэкдорчик в ядро. Поржем всем коллективом. Вон паря парой страниц назад забомбил темку для Циннамона прикольную. "А вам слабо?"

[svarosta]

Это тоже наверно новость подобная той что написал ТС https://trashbox.ru/link/2021-02-26-tra ... mpaign=dbr

[madesta]

новость подобная той что написал ТС

Полюбопытствовал про Traitor. Что бросилось при чтении подробностей в глаза:
Traitor эксплуатирует ... и неправильные конфигурации для того, чтобы получить Root-доступ.
then you can try ... remembering to chmod +x it once it arrives
Не специалист я в разного рода уязвимостях, но вот про "неправильные конфигурации" и "remembering to chmod +x" на ум приходит "сам дурак". Потому что есть ошибки в коде (ну не существует идеального кода, написанного человеком), а есть результат настроек и действий, которые человек осуществил под привилегированными правами.

Я тоже раза 3 или 4 получал сообщения типа "я взломал ваше систему". Но вот при их чтении у меня была самая натуральная "истерика": он, видите ли, записывал через мою камеру выражение моей "морды лица", но на компьютере у меня сроду не стояло никакой камеры, так как это не ноутбук, а стационарный системный блок. Ну нету у меня ни ноутбука, ни веб-камеры, а телефон кнопочный 10-летнего возраста (во делали, до сих пор служит). Ретроград такой вот, понимаете ли. А при внимательном чтении служебного заголовка одного из таких e-mail выяснилось, что оно было отправлено через почтовый клиент Microsoft Outlook операционной системы Windows XP. Прямо горячий алжирский хакер какой-то ... (из информации IP отправителя).

[sheridan]

Я думаю все это делается для того чтобы дискредитировать сообщество, а вот кому это выгодно это уже другой вопрос, хакер который нашел дырку в защите никому не скажет а тихонько воспользуется.