هفتهی گذشته، گرگ کروا-هارتمن، از توسعهدهندگان ارشد لینوکس کرنل، در بیانیهای اعلام کرد تمامی پچهای لینوکسی که اعضای دانشگاه مینهسوتای ایالات متحده ثبت میکنند، بهسرعت و بهطور پیشفرض رد خواهند شد. بهگزارش Ars Technica، این تغییر در سیاست دریافت پچ Linux Kernel در نتیجهی اقدام اشتباه سه نفر از محققان دانشگاه مینهسوتا با نام چیوشی وو و کنگجی لو و آدیتیا پکی رخ داد. این سه محقق در پروژهای تحقیقاتی، نحوهی بررسی کدهای جدیدی را بررسی کردند که برای لینوکس کرنل ثبت میشوند.
طرح محققان دانشگاه مینهسوتا بدینترتیب بود که در ابتدا سه باگ کماهمیت را در لینوکس کرنل پیدا کردند که رفعکردنشان ساده بود. سپس، آنان برای رفعکردن این باگها قدم برداشتند؛ اما نحوهی رفع باگ بسیار جنجالی شد. این محققان با دانش قبلی کد حاوی باگ را ثبت کردند و این کد وارد لینوکس کرنل شد.
محققان میگویند از ابزاری تحلیلی برای شناسایی سه آسیبپذیری نابالغ در لینوکس استفاده کردند و ازطریق آن، سه باگِ واقعا جزئی را شناسایی کردند که قرار بود رفع شوند. محققان میگویند آسیبپذیریهای نابالغ، آسیبپذیری واقعی محسوب نمیشوند؛ چون برخی از شرطها و پیشنیازهای اولیه را ندارند. محققان دانشگاه مینهسوتا درادامه پچهای خود را که حاوی کد مخرب بودند، برای نگهدارندگان لینوکس کرنل ایمیل کردند تا بفهمند آیا نگهدارندگان میتوانند مشکلات جدیتری را شناسایی کنند که ازطریق پچها به کرنل وارد میشدند.
وقتی نگهدارندگان لینوکس کرنل به پچ ثبتشده پاسخ دادند، محققان دانشگاه مینهسوتا به باگ موجود در پچشان اشاره کردند و پس از آن بهروزرسانی دیگری ارائه دادند که حاوی آسیبپذیری نبود. لو و پکی و وو فوریهی ۲۰۲۱ (بهمن و اسفند ۱۳۹۹) نتیجهی این پروژهی تحقیقاتیشان را بهصورت عمومی منتشر کردند.
بهدنبال این اتفاق، گرگ کرواهارتمن، از نگهدارندگان کرنل و یکی از همکاران بنیاد لینوکس، ۶۸ پچی را از دسترس خارج کرد که اعضای دانشگاه مینهسوتا (با آدرس ایمیل umn.edu) ثبت کرده بودند. افزونبر حذفکردن پچها، کرواهارتمن اعلام کرد پچهای دیگری که دانشگاه مینهسوتا در لینوکس کرنل ثبت کنند، بهصورت پیشفرض رد میشوند.
توسعهدهندهی ارشد لینوکس استثناهایی نیز در نظر گرفت و گفت اگر آنها مدرک ارائه دهند و بتوان آن مدرک را تأیید اعتبار کرد، اجازهی ثبت پچ صادر میشود. واحد مهندسی و علوم کامپیوتر دانشگاه مینهسوتای آمریکا فورا به تحریم لینوکس کرنل واکنش نشان داد و گفت این پروژهی تحقیقاتی را به حالت تعلیق درآورده است. همچنین، دانشگاه مینهسوتا وعده داد روش محققانش را بررسی کند.
مقالهی مرتبط:
شنبهی این هفته محققانی که تحقیقات را انجام داده بودند، با انتشار نامهای سرگشوده روی Linux Kernel Mailing List رسما از جامعهی لینوکس عذرخواهی کردند. البته این نامه بیش از آنکه جنبهی عذرخواهی داشته باشد، برای شفافسازی دربارهی اقدام آنها بود.
محققان میگویند هیچگاه از قصد به لینوکس کرنل آسیب وارد نمیکنند و آسیبپذیری امنیتی در آن قرار نمیدهند و اقدامشان را با نیت خیر انجام دادهاند و کل پروژهشان به پیدا و رفع کردن آسیبپذیریهای امنیتی ارتباط داشته است.
گرگ کرواهارتمن در پاسخ به عذرخواهی محققان گفت بنیاد لینوکس و هیئت مشاورهی فنی این بنیاد جمعهی گذشته نامهای برای دانشگاه مینهسوتا فرستادهاند تا بگویند برای ادامهی مشارکت این دانشگاه در توسعهی لینوکس کرنل باید چه اقداماتی انجام شود. درحالحاضر، دقیقا نمیدانیم که جامعهی لینوکس از دانشگاه مینهسوتا میخواهد چه اقداماتی انجام دهد. شاید در روزهای آینده جزئیات بیشتری اعلام شود.