1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Linux: Linux Foundation fordert…

Worum geht es eigentlich?

  1. Thema

Neues Thema Ansicht wechseln


  1. Worum geht es eigentlich?

    Autor: Xara 27.04.21 - 17:06

    Gibt es irgendwo einen Link, was es mit den Bad Patches auf sich hat. Der Artikel scheint ziemlich viel Vorwissen vorauszusetzen.

  2. Re: Worum geht es eigentlich?

    Autor: Kleba 27.04.21 - 18:18

    Ja, das ging die letzten Tage rum. Hier der erste Artikel dazu und hier der zweite.

  3. Re: Worum geht es eigentlich?

    Autor: Dystopinator 27.04.21 - 21:03

    ich habs so verstanden: im kern gehts darum, dass die uni absichtlich und ohne absprache patches eingereicht hat die technisch nichts besser aber auch nichts schlimmer machten, damit wollte sie zeigen, dass die überprüfung der patches hinsichtlich ihrer qualität anscheinend nur ungenügend stattfindet und so auch bösartiger code über patches verteilung finden könne, also dass die qualtätsicherung bei linux nicht ausreichend funktioniere.

    das haben sie dann auch rauspusaunt und nun will linux keine patches mehr von dieser uni annehmen, da es unethisch sei menschen zu testen ...



    3 mal bearbeitet, zuletzt am 27.04.21 21:15 durch Dystopinator.

  4. Re: Worum geht es eigentlich?

    Autor: 486dx4-160 27.04.21 - 23:27

    Dystopinator schrieb:
    --------------------------------------------------------------------------------
    > ich habs so verstanden: im kern gehts darum, dass die uni absichtlich und
    > ohne absprache patches eingereicht hat die technisch nichts besser aber
    > auch nichts schlimmer machten, damit wollte sie zeigen, dass die
    > überprüfung der patches hinsichtlich ihrer qualität anscheinend nur
    > ungenügend stattfindet und so auch bösartiger code über patches verteilung
    > finden könne, also dass die qualtätsicherung bei linux nicht ausreichend
    > funktioniere.
    >
    > das haben sie dann auch rauspusaunt und nun will linux keine patches mehr
    > von dieser uni annehmen, da es unethisch sei menschen zu testen ...

    Jein. Die Uni hat Patches eingereicht, die angeblich von der Uni gefundene Bugs beseitigen sollten. Tatsächlich gab's die Bugs nicht, es waren nur Stellen im Code, die bei oberflächlicher Betrachtung etwas buggy aussehen.
    Im vorgeblichen Bugfix wurde dann der Bug eingeführt. Bis jetzt sieht es so aus als hätte keiner der Patches in einer offiziellen Kernelversion gelandet.
    Das Paper ist sehr verständlich und gut geschrieben.

    Ich halte von dem Vorgehen nichts:
    Wenn man sich in ein Programmier-Team schmuggeln kann, dann kann man mit etwas Anstrengung versteckte Bugs in den Code bringen. Das ist eine Binsenweisheit. In manchen Firmen klappt das sogar ohne Anstrengung :)

    Dass die Entwickler und ihre Arbeitgeber über das Vorgehen der Uni wenig erfreut sind ist klar: Aus Sicherheitsgründen werden jetzt alle Patches dieser Uni, die es in letzter Zeit in den Kernel geschafft haben, nochmal rausgesucht und auf verschleierte Bugs abgeklopft. Das kostet Zeit, Zeit ist Geld, und verschiebt andere Projekte nach hinten.

  5. Re: Worum geht es eigentlich?

    Autor: Padina42 28.04.21 - 18:27

    486dx4-160 schrieb:
    --------------------------------------------------------------------------------
    > Dystopinator schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ich habs so verstanden: im kern gehts darum, dass die uni absichtlich
    > und
    > > ohne absprache patches eingereicht hat die technisch nichts besser aber
    > > auch nichts schlimmer machten, damit wollte sie zeigen, dass die
    > > überprüfung der patches hinsichtlich ihrer qualität anscheinend nur
    > > ungenügend stattfindet und so auch bösartiger code über patches
    > verteilung
    > > finden könne, also dass die qualtätsicherung bei linux nicht ausreichend
    > > funktioniere.
    > >
    > > das haben sie dann auch rauspusaunt und nun will linux keine patches
    > mehr
    > > von dieser uni annehmen, da es unethisch sei menschen zu testen ...
    >
    ...
    > Dass die Entwickler und ihre Arbeitgeber über das Vorgehen der Uni wenig
    > erfreut sind ist klar: Aus Sicherheitsgründen werden jetzt alle Patches
    > dieser Uni, die es in letzter Zeit in den Kernel geschafft haben, nochmal
    > rausgesucht und auf verschleierte Bugs abgeklopft. Das kostet Zeit, Zeit
    > ist Geld, und verschiebt andere Projekte nach hinten.

    Man stelle sich vor, jemand schmuggelt mal Kochsalz-Lösung in die Corona-Impfampullen, um zu zeigen, dass bei IMpfstoffherstellern Täuschungsmanöver möglich sind. Bei solchen Aktionen weiß jeder sofort, das machen nur Arschlöcher. Was unterscheidet die Forscher, die statt der Kochsalzlösung schlechten Code verwenden, um statt Impfampullen den Linux-Kern zu beschädigen.
    Ich finde, die Linux-Foundation hat noch relativ zurückhaltend reagiert. Man hätte wegen der Hinterhältigkeit des Vorgehens der Forscher inklusive der Reviewer beim IEE auch einen Entzug von akademischen Würden fordern können. Ich finde diese Form der Forschung und deren Aktzeptanz schlimmer als die aberkannte Copy-Paste-Doktorarbeit des adeligen Herrn zu Guttenberg.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Software Architect (m/f/d) for Load Simulations
    ENERCON GmbH, Bremen
  2. Business Intelligence (BI) Berater (m/w/d)
    Iodata GmbH, Karlsruhe
  3. Softwareentwickler (m/w/d) für die Systemsoftware-/Web-Entwickl- ung
    SysTec Systemtechnik und Industrieautomation GmbH, Bergheim bei Köln
  4. Frontend-Entwickler:in (m/w/d)
    conlabz GmbH, Koblenz

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. Über 3400 Angebote mit bis zu 90 Prozent Rabatt
  3. (u. a. Gears 5 für 9,99€, Forza Horizon 4 für 29,99€)
  4. 8,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de