7770

University duo thought it would be cool to sneak bad code into Linux as an experiment. Of course, it absolutely backfiredwww.theregister.com'Our community does not appreciate being experimented on' says Kroah-Hartman
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

7771

Pas terrible ça :/ dieu sait toutes les vulnérabilités qui sont introduites ainsi...
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

7772

Ce dont je suis pas sûr à la lecture de l'article, c'est si c'est la communauté Linux a bien eu le temps de passer tout le process de review sur le code où si ça a été révélé par les personnes qui ont fait l'étude avant. Si on est dans le premier cas, c'est quand même la preuve que l'étude était pertinente.

Brunni (./7771) :
Pas terrible ça :/ dieu sait toutes les vulnérabilités qui sont introduites ainsi...
On sait qu'il y a au moins déjà eu plusieurs tentatives .
avatar

7773

La méthode n'est certes pas terrible, mais l'énorme sur-réaction de Greg KH - proposer un revert de tous les patches envoyés par des adresses mail @emn.edu depuis des années, alors que <2% des patches sont volontairement malveillants, et de plus, que les trois patches malveillants n'en font même pas partie puisqu'ils ont justement été envoyés depuis des adresses @gmail - est ouvertement néfaste. Un nombre certain des patches qu'il veut annuler corrigent de vrais bugs, et leur revert sans distinction réintrodui(rai)t donc des vulnérabilités par dizaines, cf. par exemple https://lore.kernel.org/lkml/20210422083850.GA5316@amd/ !
Mais beaucoup de commentaires sur le sujet sont mauvais. Non seulement beaucoup prétendent que presque 200 vulnérabilités ont été introduites, ce qui est archi-faux, mais ils ne mentionnent pas que le revert complet fait beaucoup plus de mal que de bien... alors quant à mentionner les trous du processus de développement de Linux qui ont permis d'en arriver là, pensez donc...
Je tire ces infos du flux Twitter de spender, qui en connaît un rayon sur la sécurité Linux.

Cette façon de salir la réputation des universitaires et de leur université ressemble à de la vengeance pour avoir révélé de façon visible - une façon dont Greg KH et les autres augmentent d'ailleurs la visibilité par la façon dont ils communiquent - la nudité du roi (les limites du processus de review et la quantité énorme de vulnérabilités contenue dans le kernel Linux, comme dans les autres d'ailleurs, sans même qu'il y ait d'intention réellement malveillante - c'est juste facile de faire des bêtises en C) comme façon de dissuader d'autres personnes de renouveler l'expérience de façon visible. Ca souligne totalement la pertinence de l'étude, en effet.

Entre autres threads intéressants sur le flux de spender, https://mobile.twitter.com/spendergrsec/status/1385343293140180998 , qui se termine actuellement par "They snatched defeat from the jaws of victory. Turned a paper about 3 commits not getting past review into dozens of their own developers talking about how terrible their review processes are and how easy it would be for someone to backdoor the kernel."
C'est vrai, les agences gouvernementales n'ont pas besoin de faire mettre des backdoors dans les kernels des principaux OS (et de risquer de se faire prendre), puisqu'il suffit d'exploiter les nombreuses vulnérabilités existantes qui ne sont même pas intentionnelles et l'absence de mitigations connues depuis parfois bientôt 20 ans dans les versions que tout le monde utilise.

Heureusement, des gens plus raisonnables, et même des gens que Greg KH est susceptible d'écouter, sont contre le revert généralisé:
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

7774

Nintendo 64 Support Mailed In For The Linux 5.12 Kernel :
As expected, the new port of the Linux kernel to the Nintendo 64 game console from the 90's is now being mainlined in 2021 with the Linux 5.12 kernel...

The MIPS feature pull request was sent in today and it includes the port to the Nintendo 64. This is the Linux port to the N64 announced back on Christmas. The Nintendo 64 is powered by a MIPS64 NEC VR4300 at 93.75MHz with SGI Reality Coprocessor graphics clocked at 62.5MHz while having just 4MB of RAM (or expandable to 8MB).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

7775

Quel interet? o_O
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

7776

dans le kernel 5.14 on aura un port Z80 pour la game boy

7777

Yeah..
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

7778

Problème des monolithes ^^
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741