导师带学生卡Bug,这波操作~
本文來自知乎
https://www.zhihu.com/question/455891395/answer/1847953969
事情的起因是明尼蘇達大學計算機科學&工程系的助理教授 Kangjie Lu 和他的 Ph. D. 學生 Qiushi Wu 的論文《通過偽君子提交在開源軟件中隱蔽地引入漏洞的可行性》,據稱將在 2021 年五月的 42 屆 IEEE 安全隱私研討會發表)這篇文章(可以在 Wu 的 github 上找到)。
摘要如下:
他們試圖研究這種偽善提交導致的安全問題,并且選擇 Linux 內核項目作為目標,開發了一系列用于產生這種測試補丁和驗證的工具。
Linux 內核的維護者發現來自明尼蘇達的一些提交是毫無意義甚至顯著錯誤的代碼(來自 Aditya Pakki,明尼蘇達大學計算機科學&工程系的博士,導師正是 Kangjie Lu),這招致了維護者們的憤怒(by Al Viro,內核維護者)
簡單地說,這個補丁要么意味著這個人(對內核)完全不了解要么他的行動不真誠,如果是后者,我可以建議***(粗口)的社會學家們***(粗口,滾開),不要再用***(粗口,意思是垃圾)來測試(代碼)評審嗎?
以及警告(Greg K H,內核維護者):
請停止提交已知無效的補丁。你的教授正試圖玩弄(代碼)評審程序以用古怪的方式完成論文。
這是不對的,浪費了我們的時間,我們將不得不再次向你們的大學報告此事……
但是 Aditya Pakki 回應稱:
誠摯的,我要求你停止進行近乎誹謗的瘋狂指責。
這些補丁是作為我寫的一個新的靜態分析器的一部分發送的,他們顯然不是非常敏感。我發送補丁的目的是希望得到反饋。我們不是Linux內核方面的專家,反復發表這些言論讓人聽了很反感。
顯然,這個步驟是錯誤的,但你的先入為主的偏見是如此強烈,以至于你提出的指控毫無根據,也不給我們辯解(無罪推定)的任何機會。
這種態度不僅不受歡迎,而且對新手和非專家也是一種恐嚇,因此我將不會再發送任何補丁。
最終, Greg K-H 最終決定禁止明尼蘇達大學向內核貢獻任何代碼,并且取消之前的全部貢獻。
涉及的提交:
我截圖其中一個提交:
這個bug卡的有點意思,其中有一個判斷,是從讀取函數里面獲取返回值的,新的代碼修改是不判斷函數的返回值,這看起來其實并沒有多大的問題,如果能夠正確讀取到val值,并且val是0x01的話,才會返回返回正確。其他情況下就會返回ret,但是實際上read函數里面有很多種情況,這里都只能返回 -EINVAL 了。
這個提交看起來不會引發非常嚴重的錯誤。
但是我們再看看另一個提交:
這個修改就有點意思了,釋放了內存空間,對應的指針本來是要執行NULL的,這家伙把這行代碼給注釋掉了。
然后,
在另一個判斷的位置,直接去掉這個判斷。這樣做比較危險的情況是,如果有一個地方使用rm和NULL判斷作為它是否被初始化,就會出現致命的問題了。
在這個提交上,也明顯的標志了revert這個提交的原因
我看了我們量產項目中的代碼,沒有完全比對,發現我上面看了這兩個提交都已經合入了MTK主分支中。至于真的會不會卡到bug,那也是要出現問題了才知道了。
參考:
1. 報告這件事的新聞:Here's Why University of Minnesota is Getting Banned from Contributing to Linux Kernel Code - It's FOSS News
2. Gerg 決定撤銷來自 umn.edu 的所有更改:
https://lore.kernel.org/lkml/20210421130105.1226686-1-gregkh@linuxfoundation.org/
3. Gerg 對這件事的回應(以及討論串)?Re: [PATCH] SUNRPC: Add a check for gss_release_msg
4. 文章的地址?github.com/QiushiWu/Qiu
5. 作者 Wu 的博客?Qiushi Wu
6. Wu github 中的 issues,大部分針對這個問題,特別“不誠信的研究”:github.com/QiushiWu/qiu
7. 作者 Lu 的主頁?www-users.cs.umn.edu/~kjlu/papers/clarifications-hc.pdf
8. Lu 關于這件事的澄清:www-users.cs.umn.edu/~kjlu/papers/clarifications-hc.pdf
推薦閱讀:
專輯|Linux文章匯總
專輯|程序人生
專輯|C語言
我的知識小密圈
關注公眾號,后臺回復「1024」獲取學習資料網盤鏈接。
歡迎點贊,關注,轉發,在看,您的每一次鼓勵,我都將銘記于心~
總結
以上是生活随笔為你收集整理的导师带学生卡Bug,这波操作~的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: android mmkv使用_[Andr
- 下一篇: 用一张图片告诉你芯片设计