تیم لینوکس کرنل عذرخواهی دانشگاه مینه سوتا را نپذیرفت

تیم لینوکس کرنل عذرخواهی دانشگاه مینه سوتا را نپذیرفت

سه محقق دانشگاه مینه‌سوتا که با اهداف تحقیقاتی به لینوکس کرنل آسیب‌پذیری وارد کرده بودند، در نامه‌ای سرگشوده بابت این کار عذرخواهی کردند. بااین‌حال، توسعه‌دهنده‌ی ارشد لینوکس این عذرخواهی را نپذیرفت.

هفته‌ی گذشته، گرگ کروا-هارتمن، از توسعه‌دهندگان ارشد لینوکس کرنل، در بیانیه‌‌ای اعلام کرد تمامی پچ‌های لینوکسی که اعضای دانشگاه مینه‌سوتای ایالات متحده ثبت می‌کنند، به‌سرعت و به‌طور پیش‌فرض رد خواهند شد. به‌گزارش Ars Technica، این تغییر در سیاست دریافت پچ Linux Kernel در نتیجه‌ی اقدام اشتباه سه نفر از محققان دانشگاه مینه‌سوتا با نام چیوشی وو‌ و کنگجی لو و آدیتیا پکی رخ داد. این سه محقق در پروژه‌ای تحقیقاتی، نحوه‌ی بررسی کدهای جدیدی را بررسی کردند که برای لینوکس کرنل ثبت می‌شوند.

طرح محققان دانشگاه مینه‌سوتا بدین‌ترتیب بود که در ابتدا سه باگ کم‌اهمیت را در لینوکس کرنل پیدا کردند که رفع‌کردنشان ساده بود. سپس، آنان برای رفع‌کردن این باگ‌ها قدم برداشتند؛ اما نحوه‌ی رفع باگ بسیار جنجالی شد. این محققان با دانش قبلی کد حاوی باگ را ثبت کردند و این کد وارد لینوکس کرنل شد.

محققان می‌گویند از ابزاری تحلیلی برای شناسایی سه آسیب‌پذیری نابالغ در لینوکس استفاده کردند و از‌طریق آن، سه باگِ واقعا جزئی را شناسایی کردند که قرار بود رفع شوند. محققان می‌گویند آسیب‌پذیری‌های نابالغ، آسیب‌پذیری واقعی محسوب نمی‌شوند؛ چون برخی از شرط‌ها و پیش‌نیازهای اولیه را ندارند. محققان دانشگاه مینه‌سوتا درادامه پچ‌های خود را که حاوی کد مخرب بودند، برای نگه‌دارندگان لینوکس کرنل ایمیل کردند تا بفهمند آیا نگه‌دارندگان می‌توانند مشکلات جدی‌تری را شناسایی کنند که ازطریق پچ‌ها به کرنل وارد می‌شدند.

وقتی نگه‌دارندگان لینوکس کرنل به پچ ثبت‌شده پاسخ دادند، محققان دانشگاه مینه‌سوتا به باگ موجود در پچشان اشاره کردند و پس از آن به‌روزرسانی دیگری ارائه دادند که حاوی آسیب‌پذیری نبود. لو و پکی و وو فوریه‌ی ۲۰۲۱ (بهمن و اسفند ۱۳۹۹) نتیجه‌ی این پروژه‌ی تحقیقاتی‌شان را به‌صورت عمومی منتشر کردند.

به‌دنبال این اتفاق، گرگ کروا‌هارتمن، از نگه‌دارندگان کرنل و یکی از همکاران بنیاد لینوکس، ۶۸ پچی را از دسترس خارج کرد که اعضای دانشگاه مینه‌سوتا (با آدرس ایمیل umn.edu) ثبت کرده بودند. افزون‌بر حذف‌کردن پچ‌ها، کرواهارتمن اعلام کرد پچ‌های دیگری که دانشگاه مینه‌سوتا در لینوکس کرنل ثبت کنند، به‌صورت پیش‌فرض رد می‌شوند.

توسعه‌دهنده‌ی ارشد لینوکس استثناهایی نیز در نظر گرفت و گفت اگر آن‌ها مدرک ارائه دهند و بتوان آن مدرک را تأیید اعتبار کرد، اجازه‌ی ثبت پچ صادر می‌شود. واحد مهندسی و علوم کامپیوتر دانشگاه مینه‌سوتای آمریکا فورا به تحریم‌ لینوکس کرنل واکنش نشان داد و گفت این پروژه‌ی تحقیقاتی را به حالت تعلیق درآورده است. همچنین، دانشگاه مینه‌سوتا وعده داد روش محققانش را بررسی کند.

شنبه‌ی این هفته محققانی که تحقیقات را انجام داده بودند، با انتشار نامه‌ای سرگشوده روی Linux Kernel Mailing List رسما از جامعه‌ی لینوکس عذرخواهی کردند. البته این نامه‌ بیش از آنکه جنبه‌ی عذرخواهی داشته باشد، برای شفاف‌سازی درباره‌ی اقدام آن‌‌ها بود.

محققان می‌گویند هیچ‌گاه از قصد به لینوکس کرنل آسیب وارد نمی‌کنند و آسیب‌پذیری امنیتی در آن قرار نمی‌دهند و اقدامشان را با نیت خیر انجام داده‌اند و کل پروژه‌شان به پیدا و رفع کردن آسیب‌پذیری‌های امنیتی ارتباط داشته است. 

گرگ کرواهارتمن در پاسخ به عذرخواهی محققان گفت بنیاد لینوکس و هیئت‌ مشاوره‌ی فنی این بنیاد جمعه‌ی گذشته نامه‌ای برای دانشگاه مینه‌سوتا فرستاده‌اند تا بگویند برای ادامه‌ی مشارکت این دانشگاه در توسعه‌ی لینوکس کرنل باید چه اقداماتی انجام شود. در‌حال‌حاضر، دقیقا نمی‌دانیم که جامعه‌ی لینوکس از دانشگاه مینه‌سوتا می‌خواهد چه اقداماتی انجام دهد. شاید در روزهای آینده جزئیات بیشتری اعلام شود. 

منبع arstechnica

از سراسر وب

  دیدگاه
کاراکتر باقی مانده

بیشتر بخوانید