17611538698
webmaster@21cto.com

Linus:Linux太烂,我要删了它,你们用Windows XP吧!

资讯 0 1485 2022-02-05 03:39:16



一般技术大神可能都有点神经质,总是让人迅雷不及掩耳,无法理解一些事情。


这不前两天,就是是1月25号, Linux之父 Linus Torvalds 好像又有点情绪失控。


不过这次他没有骂人,他悄悄地向GitHub仓库提交了一个README文件,地址为:https://github.com/torvalds/linux/tree/8bcab0346d4fcf21b97046eb44db8cf37ddd6da0,备注名为《delete linux because it sucks》,主要是说 Linux 系统太烂,并且要扬言删了它。


全文是这样的:

图片


大家好,我是 linus torvalds,当红系统 Linux 作者。你可以查看 repo 的 url 和文件顶部的名字,它们足可以证明是我本人在提交。


我删了 Linux,因为我讨厌它,我认为它很烂。你应该去用这个很棒的操作系统,它叫做 Windows XP,我刚刚发现它做的真的很棒!


结果,Linux系统并没有删除,而这个文件底部一个链接被细心的人发现了:


图片


该链接指向 Hacker News 论坛的一个帖子,帖子详细介绍了 GitHub 现存的“虚假提交”漏洞,你可以在 https://github.com/my/project 的 URL下发布任意提交。


比如用:

https://github.com/my/project/blob//README.md 


这种 URL 就可以发布虚假的 README 文本,这种虚假提交不会出现在项目的提交记录里面,也不属于任何一个分支,只能通过访问特定的 URL 看到。


Linus 这个 README 文件正是利用了这个虚假提交漏洞,我们来看这个 README 的 URL :


图片


如果是正常的提交,URL 应该带有 commit 字眼,比如:


图片


图片

除了 URL 不对外,该 README 文件也未出现在提交记录中:

图片

由此可见,如果果真是 Linus ,他就是开了个玩笑,并不是真的删库跑路。


对此漏洞感兴趣的同学,可以去看看 Hacker News 的原帖,这个虚假提交漏洞结合 GitHub 另一个“通过 git 电子邮件地址冒充用户”漏洞:https://bounty.github.com/ineligible.html#impersonating_a_user_through_git_email_address,就能创造出以假乱真的钓鱼页面。


比如
https://github.com/slimsag/linux/tree/5895e21f3c744ed9829e3afe9691e3eb1b1932ae#linux-kernel 这个仓库,看起来似乎 Linus 本人参与了这个仓库的建设:
图片

然而这只是通过替换电子邮件地址漏洞,把 slimsag 换成了 torvalds 。

图片

图片


左边是通过漏洞替换 torvalds 的电子邮箱地址 ,右边是正常的,通过观察对比,仔细可以发现,障眼法换出来的 torvalds 它是不显示活动记录的。


以上这些 GitHub 漏洞都是 2020 年公开的,然而漏洞作者称“GitHub 完全不把这些问题当作漏洞”,不知道 GitHub 是无法处理,或是认为没必要处理,反正直到现在它们仍能被人利用。


事实上,这并不是 Linus 第一次抱怨 Linux 系统。他早年看到了 Linux 桌面版的混乱。桌面Linux发行版的应用程序兼容性问题非常严重,人们随意修改内核,向后兼容性也很差,应用分发体验远不如Windows系统。


作者:场长

来源:https://www.sobyte.net/post/2022-01/linus-play-a-trick-of-github-vulnerability/


评论