Minesotako Unibertsitateak Linux kernelaren garapena debekatu zuen 

Greg Kroah-Hartman, Linux kernelaren adar egonkorra mantentzeaz arduratzen dena ezagutarazi zuen Hainbat egun daramatzat edaten Minnesota Unibertsitatetik Linux kernelera edozein aldaketa ukatzeko erabakia, eta aldez aurretik onartutako adabaki guztiak itzuli eta berriro egiaztatu.

Blokeoaren arrazoia ikerketa talde baten jarduerak izan ziren kode irekiko proiektuen kodean ezkutuko ahultasunak sustatzeko aukera aztertzen duena, talde honek mota desberdinetako akatsak dituzten adabakak bidali baititu.

Erakuslea erabiltzearen testuingurua ikusita, ez zuen zentzurik eta adabakiak bidaltzearen helburua aldaketa okerrak kernel garatzaileen berrikuspena gaindituko ote zuen ikertzea zen.

Adabaki honetaz gain, Minesotako Unibertsitateko garatzaileek kernelean zalantzazko aldaketak egiteko beste saiakera batzuk egin dituzte, ezkutuko ahultasunak gehitzearekin lotutakoak barne.

Adabak bidali zituen laguntzailea bere burua justifikatzen saiatu zen analizatzaile estatiko berri bat probatu eta aldaketa probako emaitzen arabera prestatu zen.

Baina Gregek arreta erakarri zuen proposatutako zuzenketak ez direla ohikoak analizatzaile estatikoek hautemandako akatsak, eta bidalitako adabakiek ez dute ezer konpontzen. Aipatutako ikerlari taldea iraganean saiatu zenez ahultasun ahulak dituzten irtenbideak sartzen, argi dago kernel garapen komunitatean esperimentuak egiten jarraitu dutela.

Interesgarria da, iraganean, esperimentazio taldeko liderrak ahultasun legitimoen konponketetan parte hartu duela, hala nola, USB pila (CVE-2016-4482) eta sareetan (CVE-2016-4485) informazio ihesak.

Ezkutuko zaurgarritasunaren hedapenari buruzko ikerketa batean, Minnesota Unibertsitateko taldeak CVE-2019-12819 zaurgarritasunaren adibidea jarri zuen, 2014an nukleoan onartu zen adabaki batek eragindakoa. Irtenbideak put_device deia gehitu zuen erroreak kudeatzeko blokean. mdio_bus-en, baina bost urte geroago agerian geratu zen manipulazio horrek memoria blokera doan erabili ondoren sartzea eragingo zuela.

Aldi berean, ikerketaren egileek diotenez, beren lanean akatsak dituzten 138 adabaki buruzko datuak laburbildu zituzten, baina ez zeuden ikerketako parte-hartzaileekin erlazionatuta.

Zure akatsen adabakiak bidaltzeko saiakerak posta korrespondentziara mugatu dira eta aldaketa horiek ez dira Git commit fasera iritsi inongo kernel adarretan (adabakia mezu elektronikoz bidali ondoren adabakiak adabakia normala dela ikusi badu, orduan aldaketa ez sartzeko eskatu dizute akats bat dagoelako eta horren ondoren adabaki zuzena izan da bidalita).

Era berean, kritikatutako konponketaren egilearen jarduera ikusita, adabakiak kernel azpisistema desberdinetara bultzatzen ari da aspalditik. Adibidez, radeon eta nouveau kontrolatzaileek berriki pm_runtime_put_autosuspend (dev-> dev) blokeo erroreei egindako aldaketak onartu dituzte, memoria elkartua askatu ondoren bufferra erabiltzea ekar dezake.

Hori ere aipatzen da Greg-ek lotutako 190 konpromiso atzera bota eta berrikuspen berria hasi zuen. Arazoa da @ umn.edu laguntzaileek zalantzazko adabak sustatzen esperimentatu ez ezik, benetako ahultasunak ere konpontzen dituztela eta aldaketak atzera botatzeak lehen konpondutako segurtasun arazoak itzultzea ekar dezakeela. Mantentzaile batzuek egin gabeko aldaketak berriro egiaztatu dituzte eta ez dute arazorik aurkitu, baina akatsen adabakiak ere egon ziren.

Minnesota Unibertsitateko Informatika Saila agiria eman du arlo horretan ikerketa bertan behera uztea iragarri zuen, erabilitako metodoak baliozkotzen hasi eta ikerketa hori nola onartu zen aztertzeko. Emaitzen txostena komunitatearekin partekatuko da.

Azkenean Gregek aipatu du komunitatearen erantzunak behatu dituela eta berrikuspen prozesua iruzur egiteko moduak aztertzeko prozesua ere kontuan hartu duela. Gregen iritziz, horrelako esperimentuak egitea aldaketa kaltegarriak egiteko onartezina eta etikoa da.

Fuente: https://lkml.org


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.