Forscher der University of Minnesota (UMN) haben damit experimentiert, ob es ihnen gelingt fehlerhafte Patches in den Linux-Kernel einzuschleusen. Das Experiment sollte zeigen, dass mit präparierten Patches neue Fehler in den Kernel gelangen. Kernel-Maintainer Greg Kroah-Hartman reagierte sehr ungehalten und hat sämtliche von der Universität stammende Patches aus dem Kernel entfernt.
Mit ihrem Experiment zur heimlichen Einschleusung von Schwachstellen in Open-Source-Software haben sich die beiden Forscher Qiushi Wu und Kangjie Lu bei der Kernel-Community keine Freunde gemacht. Das bereits einige Zeit zurückliegende Experiment, präparierte Patches an Maintainer der Kernel-Entwicklung zu schicken, ist auf Github dokumentiert. Zudem ist es als Vortrag beim IEEE Symposium on Security and Privacy aufgenommen worden.
In der ersten Runde des Experiments waren sinnlose Patches für drei kleinere Bugs im Kernel an die Maintainer gegangen. Die Forscher hatten dann die Reaktion abgewartet und die Patches waren wohl von einigen Maintainern akzeptiert worden. Man habe die zuständigen Mainainer informiert und es sei kein präparierter Code im Kernel gelandet, schrieben die Forscher in einer Stellungnahme.
Dass sie nun eine weitere Ladung von präparierten Patches geschickt haben, ist beim obersten Kernel-Maintainer Greg Kroah-Hartman schlecht angekommen. Er hat sämtliche von der Mailadresse der Universität of Minnesota stammenden Patches zurückgezogen. Kroah-Hartman schreibt in der Mailingliste an die Adresse der Forscher: Sie und Ihre Gruppe haben öffentlich zugegeben, bekannt fehlerhafte Patches einzuschicken, um zu sehen, wie die Kernel-Gemeinschaft darauf reagieren würde, und haben eine Arbeit veröffentlicht, die auf dieser Arbeit basiert. Jetzt reichen Sie wieder eine neue Serie von offensichtlich fehlerhaften Patches ein, was soll ich also von so etwas halten?
Dass er relativ wenig davon hält, dass die Kernel-Entwickler als Versuchskaninchen für solche Tests herhalten müssen, hat er in seiner Mail deutlich gemacht, dort kündigt er an, die Patches zurückzuziehen und erst nach einer manuellen Prüfung weder zuzulassen. Kroah-Hartman schreibt: Unsere Gemeinschaft schätzt es nicht, wenn mit ihr experimentiert wird und sie “getestet” wird, indem bekannte Patches eingereicht werden, die entweder absichtlich nichts tun oder absichtlich Fehler einführen. Wenn Sie eine solche Arbeit machen wollen, schlage ich vor, dass Sie sich eine andere Gemeinschaft suchen, um Ihre Experimente durchzuführen. Sie sind hier nicht willkommen. Aus diesem Grund werde ich nun alle zukünftigen Beiträge von Ihrer Universität verbieten und Ihre bisherigen Beiträge entfernen, da sie da sie offensichtlich in böser Absicht eingereicht wurden, mit der Absicht, Probleme zu verursachen.
