查看原文
其他

一项无聊的研究与论文,导致整个大学被Linux封杀!

DD编辑部 程序猿DD 2021-05-26

大学是一个神圣的地方,每一个大学毕业的学子都要完成一篇实打实的毕业论文,如果你选择继续深造,硕士、博士,那就更是需要你公开发布一定数量的论文才行。而这每一篇论文都必须是经过反复验证,不能有丝毫纰漏吹嘘、不能弄虚作假

往往呢,有一些论文题目脑洞特别大,比如一个叫Joseph. B. Keller的数学家发表了一篇讨论马尾辫如何运动的论文,这篇论文的目的是搞清楚为什么马尾辫在慢跑时是左右晃动而不是随着人上下晃动!

还有早在19世纪,曾有一个名叫弗朗西斯·高尔顿的各种学家(博学家、人类学家、优生学家、热带探险家、地理学家、发明家、气象学家、统计学家、心理学家和遗传学家)写过一篇论文,研究方向是:关于祷告效力的统计调查!

当然我们天朝也少不了这种脑洞论文:

这类文章大多数情况下可能博得看客一乐,但是也有一些论文造成的是极端负面的影响。

今天小编就要给大家介绍下:一篇论文引发的惨案

受害者:美国明尼苏达大学

论文标题是:通过假意提交代码在开源软件中偷偷引入漏洞的可行性

论文原址:https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

从论文标题我们就不难看到,往好处想这是一篇教你如何防范开源漏洞的论文,但如果往坏了想,这就是一篇教你如何使用漏洞的攻略!

其实小编从一开始就提到过,一篇论文,一定是要经过反复验证,才能证明其真实可靠性,而这篇论文的作者,Kangjie Lu 和 Qiushi Wu,两位明尼苏达大学的高材生的的确确做到了这点。

他们为了充分证明论文的真实性,反反复复的在开源社区提交了一些特殊的代码,用来偷偷的、不引入注目的将那些恶意代码悄悄的引入Linux 内核,并且没有引起别人的注意!

而Kangjie Lu 和 Qiushi Wu也曾表示过,他们的初衷是希望研究开源社区会如何应对这种恶意行为,但是或许这种想法只是他们的一厢情愿。

因为在他们发表论文之后,同一个导师的另一个弟子Aditya Pakki,利用了这篇论文中的一些方法,再次向Linux 提交了问题代码。


Signed-off-by: Aditya Pakki <pakki001@umn.edu>
---
net/rds/message.c | 1 +
net/rds/send.c | 2 +-
2 files changed, 2 insertions(+), 1 deletion(-)

diff --git a/net/rds/message.c b/net/rds/message.c
index 071a261fdaab..90ebcfe5fe3b 100644
--- a/net/rds/message.c
+++ b/net/rds/message.c
@@ -180,6 +180,7 @@ void rds_message_put(struct rds_message *rm)
rds_message_purge(rm);

kfree(rm);
+ rm = NULL;
}
}
EXPORT_SYMBOL_GPL(rds_message_put);
diff --git a/net/rds/send.c b/net/rds/send.c
index 985d0b7713ac..fe5264b9d4b3 100644
--- a/net/rds/send.c
+++ b/net/rds/send.c
@@ -665,7 +665,7 @@ static void rds_send_remove_from_sock(struct list_head *messages, int status)
unlock_and_drop:
spin_unlock_irqrestore(&rm->m_rs_lock, flags);
rds_message_put(rm);
- if (was_on_sock)
+ if (was_on_sock && rm)
rds_message_put(rm);
}

这一再的试探,真是佛都有火, Linux 内核维护者之一的 Greg Kroah-Hartman得知Aditya Pakki的行为之后,忍不住留言提醒Aditya Pakki,不要再浪费时间做这些恶意的行为,否则会跟明尼苏达大学投诉

同时还发布了推特:Linux 内核开发人员不喜欢被试验,我们还有许多实际工作要做

自从新冠之后我们应该知道,国外可推崇民主自由了,Aditya Pakki当然不会因为这个声明觉得自己行为不妥,他反击到:

Greg,我恭敬地请求你停止那种近乎诽谤的疯狂指控。这些补丁是我的一个新静态分析器生成的。我发送这些补丁是希望得到反馈。很明显,这是错误的一步,但你太过先入为主,以至于让你做出毫无根据的指控。我将不再发送任何补丁,因为你这不仅是不欢迎的态度,而且也恐吓到了新手和非专业人士。

对此,忍耐到了极限的Greg Kroah-Hartman不再放纵对方的无理举动,他提到他们的社区欢迎那些希望帮助和增强 Linux 的开发者,但绝对不欢迎通过提交已知的错误补丁来进行实验的人。

为此,Greg Kroah-Hartman决定直接禁止整个明尼苏达大学今后的所有提交,并会删除之前所有的提交内容!

不是一个两个人,是整个大学一起被拉入了黑名单

好家伙,看样子Greg Kroah-Hartman是动了真怒,或许一部分的怒意也来自于明尼苏达大学之前对这种行为的听之任之毫无作为。

目前,明尼苏达大学对此进行了回应:

我们对这种情况极为重视,并已经立即暂停了这项研究。我们将调查该研究方法和批准该研究方法的过程,确定适当的补救措施,并在需要时预防未来的问题。我们将尽快向社会报告我们的调查结果。”

对于这件事情,各方人士看法不一,大多数 Linux 内核开发人员和程序员,都站队Greg Kroah-Hartman,认为学术研究不应浪费社区的时间

但是大多数创业公司却持不一样的态度,认为只有不断的探索各种可能,才会推进行业的发展

对此,各位看官的看法是什么?赶紧留言一起讨论吧!

往期推荐

SQL 语句中 left join 后用 on 还是 where,区别大了!

代码总是被嫌弃写的太烂?装上这个IDEA插件再试试!

3年至少15个项目经验,7天搞定1个项目!这样的招聘要求,你能胜任吗?

请立即卸载这款 IDEA 插件

“12306” 是如何支撑百万 QPS 的?


如果你喜欢本文,欢迎关注我,订阅更多精彩内容
关注我回复「加群」,加入Spring技术交流群

免费领取:图解网络PDF下载

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存