L'Università di Minnesota hè pruibita da u sviluppu di u kernel Linux 

Greg Kroah-Hartman, quale hè incaricatu di mantene u ramu stabile di u kernel Linux hà fattu sapè Aghju betu dapoi parechji ghjorni a decisione di ricusà qualsiasi cambiamenti da l'Università di Minnesota à u kernel Linux, è ripigliate tutte e patch accettate prima è verificate di novu.

U mutivu di u bloccu era l'attività di un gruppu di ricerca chì studia a pussibilità di prumove vulnerabilità nascoste in u codice di prughjetti open source, postu chì stu gruppu hà inviatu patch chì includenu errori di vari tippi.

Datu u cuntestu di l'usu di u puntatore, ùn avia micca sensu è u scopu di a presentazione di a patch era di investigà se u cambiamentu erroneu passaria a rivista di i sviluppatori di kernel.

In più di questu patch, Ci sò stati altri tentativi di sviluppatori à l'Università di Minnesota per fà cambiamenti discutibili à u kernel, cumpresi quelli relativi à l'aggiunta di vulnerabilità nascoste.

U cuntributore chì hà inviatu i patch hà pruvatu à ghjustificassi pruvà un novu analizzatore staticu è u cambiamentu hè statu preparatu basatu annantu à i risultati di i testi annantu à questu.

ma Greg hà attiratu l'attenzione nantu à u fattu chì e correzioni pruposte ùn sò micca tipiche d'errori rilevati da analizzatori statici, è i patch inviati ùn risolvenu nunda. Postu chì u gruppu di circadori in quistione hà digià pruvatu in u passatu à intruduce suluzione cù vulnerabilità piatte, hè chjaru chì anu cuntinuatu e so sperienze in a cumunità di sviluppu di u kernel.

Curiosamente, in u passatu, u capimachja di u gruppu di sperimentazione hè statu implicatu in correzioni per vulnerabilità legittime, cume fughe di informazioni nantu à a pila USB (CVE-2016-4482) è e reti (CVE-2016-4485).

In un studiu di propagazione di vulnerabilità nascosta, a squadra di l'Università di Minnesota cita un esempiu di a vulnerabilità CVE-2019-12819, causata da un patch chì hè statu accettatu in u kernel in u 2014. A suluzione hà aghjuntu una chjama put_device à u bloccu di a gestione d'errori in mdio_bus, ma cinque anni dopu hè statu rivelatu chì una tale manipulazione averia da uttene un accessu senza usu dopu à u bloccu di memoria.

À u listessu tempu, l'autori di u studiu dicenu chì in u so travagliu anu riassuntu i dati nantu à 138 patch chì introducenu errori, ma ùn sò micca relativi à i participanti à u studiu.

I tentativi di mandà i vostri patch di bug sò stati limitati à a corrispondenza per mail è tali cambiamenti ùn anu micca ghjuntu à u stadiu di impegni Git in alcuna ramu di u kernel (se dopu avè mandatu un email à u patch u mantenitore hà trovu u patch cum'è normale, allora vi hè statu dumandatu di ùn includere micca u cambiamentu perchè ci hè un errore, dopu u patch currettu era speditu).

Inoltre, à ghjudicà da l'attività di l'autore di a riparazione criticata, hà spintatu patch à vari sottosistemi di kernel per un bellu pezzu. Per esempiu i driver di radeon è nouveau adopranu recentemente cambiamenti à pm_runtime_put_autosuspend (dev-> dev) errori di bloccu, pò purtà à l'usu di un buffer dopu a liberazione di memoria assuciata.

Si cita ancu chì Greg hà rimessu 190 impegni associati è hà iniziatu una nova revisione. U prublema hè chì i cuntributori @ umn.edu ùn solu anu sperimentatu cù a prumuzione di patch dubbiosi, anu ancu riparatu vulnerabilità attuali, è ripristinà i cambiamenti pudianu purtà à u ritornu di prublemi di sicurezza riparati in precedenza. Alcuni manutentori anu dighjà verificatu di novu i cambiamenti fatti è ùn anu trovu prublemi, ma ci sò stati ancu patch di bug.

U Dipartimentu di Informatica à l'Università di Minnesota hà publicatu una dichjarazione annunzendu a sospensione di l'inchiesta in questa zona, avviendu a cunvalidazione di i metudi aduprati è cunducendu un'inchiesta nantu à cume hè stata appruvata sta inchiesta. U rapportu di risultati serà spartutu cù a cumunità.

Infine Greg ammenta chì hà osservatu e risposte da a cumunità è ancu tenendu contu di u prucessu di esplorazione di modi per ingannà u prucessu di revisione. In l'opinione di Greg, cunduce tali esperimenti per introduce cambiamenti dannosi hè inacceptable è antietica.

source: https://lkml.org


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.