Greg Kroah-Hartman, kes vastutab Linuxi kerneli stabiilse haru säilitamise eest tegi sellest teada Olen mitu päeva joonud otsus keelduda Minnesota ülikooli muutustest Linuxi kernelisja tühistage kõik varem heaks kiidetud plaastrid ning kontrollige neid uuesti.
Blokaadi põhjus oli uurimisrühma tegevus uurib võimalust varjatud haavatavuste edendamiseks avatud lähtekoodiga projektide koodis, kuna see rühm on saatnud paiku, mis sisaldavad erinevat tüüpi vigu.
Arvestades kursori kasutamise konteksti, polnud sellel mingit mõtet ja plaastri esitamise eesmärk oli uurida, kas ekslik muudatus läbib kerneli arendajate ülevaate.
Lisaks sellele plaastrile Minnesota ülikooli arendajad on teinud muid katseid teha tuumas küsitavaid muudatusi, sealhulgas varjatud haavatavuste lisamisega seotud.
Plaastrite saatnud kaastöötaja üritas ennast õigustada uue staatilise analüsaatori testimine ja muudatus valmistati ette selle katsetulemuste põhjal.
Pero Greg juhtis tähelepanu asjaolule, et kavandatud parandused pole tüüpilised staatiliste analüsaatorite tuvastatud vigade arv, ja saadetud plaastrid ei lahenda midagi. Kuna kõnealune teadlaste rühm on juba varem proovinud varjatud haavatavustega lahendusi tutvustada, on selge, et nad on jätkanud katseid tuumaarenduse kogukonnas.
Huvitav on see, et varem on eksperimenteerimisrühma juht tegelenud õigustatud haavatavuste parandustega, näiteks teabe lekkimisega USB-pinu (CVE-2016-4482) ja võrkudes (CVE-2016-4485).
Varjatud haavatavuse levitamise uuringus toob Minnesota ülikooli meeskond näite CVE-2019-12819 haavatavusest, mille põhjustas 2014. aastal kernelisse aktsepteeritud plaaster. Lahendus lisas tõrkeotsingu plokki put_device-kõne aastal mdio_bus, kuid viis aastat hiljem selgus, et selline manipuleerimine tooks kaasa mäluplokile vaba kasutamise pärast kasutamist.
Samal ajal väidavad uuringu autorid, et võtsid oma töös kokku andmed 138 plaastri kohta, mis toovad sisse vigu, kuid pole uuringus osalejatega seotud.
Oma veaparanduste saatmise katsed piirdusid kirjavahetusega ja sellised muudatused ei jõudnud üheski kerneli harus Git-i pühendumisetapini (kui hooldaja leidis pärast plaastri meilisõnumiga saatmist, et plaaster on normaalne, siis paluti teil muudatust mitte lisada, kuna seal on viga, mille järel õige saadetud).
Samuti on ta kritiseeritud paranduse autori aktiivsusest lähtudes juba pikka aega lükanud plaastreid erinevatesse tuuma alamsüsteemidesse. Näiteks võtsid radeon- ja nouveau-draiverid hiljuti vastu muudatused blokeerimisveades pm_runtime_put_autosuspend (dev-> dev), see võib pärast seotud mälu vabastamist põhjustada puhvri kasutamist.
Mainitakse ka seda Greg tühistas 190 seotud kohustust ja alustas uut ülevaatust. Probleem on selles, et @ umn.edu kaastöötajad ei katsetanud mitte ainult küsitavate plaastrite reklaamimist, vaid parandasid ka tegelikud nõrkused ja muudatuste tagasitõmbamine võib viia varem fikseeritud turvaprobleemide taastumiseni. Mõned hooldajad on teostamata muudatused juba üle vaadanud ega leidnud probleeme, kuid esines ka veaparandusi.
Minnesota ülikooli arvutiteaduse osakond avalduse teatades uurimise peatamisest selles valdkonnas, algatada kasutatud meetodite valideerimine ja viia läbi uurimine selle uurimise heakskiitmise kohta. Tulemuste aruannet jagatakse kogukonnaga.
Lõpuks mainib Greg, et on jälginud kogukonna vastuseid ja võtnud arvesse ka protsessi, kuidas uurida võimalusi läbivaatamise protsessi petmiseks. Gregi arvates on selliste katsete läbiviimine kahjulike muutuste sisseviimiseks vastuvõetamatu ja ebaeetiline.
allikas: https://lkml.org