Greg Kroah-Hartman, aki felelős a Linux kernel stabil ágának fenntartásáért tudtára adta Több napja iszom a döntés a Minnesotai Egyetemtől a Linux kernelig történő bármilyen változás megtagadására, és állítsa vissza az összes korábban elfogadott javítást és ellenőrizze újra.
A blokád oka egy kutatócsoport tevékenysége volt hogy megvizsgálja a rejtett sebezhetőségek népszerűsítésének lehetőségét a nyílt forráskódú projektek kódjában, mivel ez a csoport különféle hibákat tartalmazó javításokat küldött.
Figyelembe véve a mutató használatának összefüggéseit, semmi értelme nem volt, és a javítás beküldésének célja annak vizsgálata volt, hogy a hibás változás át fogja-e adni a kernel fejlesztői értékelését.
Ezen a tapaszon kívül A Minnesotai Egyetemen más fejlesztők is megkísérelték megkérdőjelezhető változtatásokat végrehajtani a kernelben, beleértve a rejtett sebezhetőségek hozzáadásával kapcsolatosakat is.
A javításokat küldő közreműködő megpróbálta igazolni magát egy új statikus analizátor tesztelése és a változás a rajta lévő vizsgálati eredmények alapján készült.
De Greg felhívta a figyelmet arra, hogy a javasolt korrekciók nem jellemzőek a statikus analizátorok által észlelt hibák száma, és az elküldött javítások nem oldanak meg semmit. Mivel a kérdéses kutatócsoport a múltban már megpróbált rejtett sebezhetőségű megoldásokat bevezetni, egyértelmű, hogy folytatták kísérleteiket a rendszermag-fejlesztő közösségben.
Érdekes módon a múltban a kísérleti csoport vezetője részt vett a jogos sérülékenységek javításában, például információszivárgás az USB-veremben (CVE-2016-4482) és a hálózatokban (CVE-2016-4485).
A rejtett sebezhetőség terjedésének tanulmányozása során a Minnesotai Egyetem csapata példát idéz a CVE-2019-12819 sérülékenységre, amelyet egy 2014-ben kernelbe elfogadott javítás okoz. A megoldás egy put_device hívást adott a hibakezelés blokkjához mdio_bus, de öt évvel később kiderült, hogy egy ilyen manipuláció használat utáni szabad hozzáférést eredményez a memória blokkhoz.
Ugyanakkor a tanulmány szerzői azt állítják, hogy munkájukban 138 olyan javítás adatait összegezték, amelyek hibákat mutatnak be, de nem kapcsolódnak a vizsgálat résztvevőihez.
A saját hibajavítások beküldésére irányuló kísérletek a levelezésre korlátozódtak és ezek a változtatások nem jutottak el a kernel ág Git-elkötelezettségéhez (ha a javító e-mail küldését követően a karbantartó normálisnak találta a javítást, akkor arra kérték, hogy ne vegye bele a változást, mert hiba van, amely után patchet szállítottak).
Továbbá, a kritizált javítás szerzőjének tevékenységéből ítélve, hosszú ideje javítja a különféle kernalrendszereket. Például a radeon és a nouveau illesztőprogramok nemrégiben változtatásokat fogadtak el a pm_runtime_put_autosuspend (dev-> dev) blokkolási hibákban, ami puffer használatához vezethet a társított memória felszabadítása után.
Azt is megemlítik, hogy Greg visszavonta 190 társított kötelezettségvállalását, és új felülvizsgálatot indított. A probléma az, hogy a @ umn.edu közreműködők nemcsak a megkérdőjelezhető javítások népszerűsítésével kísérleteztek, hanem a tényleges sebezhetőségeket is kijavították, és a változások visszagörgetése a korábban javított biztonsági problémák visszatéréséhez vezethet. Néhány karbantartó már ellenőrizte a nem végrehajtott változásokat, és nem talált problémát, de hibajavítások is voltak.
A Minnesotai Egyetem Számítástudományi Tanszéke közleményt adott ki a vizsgálat felfüggesztésének bejelentése ezen a területen, az alkalmazott módszerek validálásának kezdeményezése és a vizsgálat jóváhagyásának kivizsgálása. Az eredményjelentést megosztjuk a közösséggel.
Végül Greg megemlíti, hogy megfigyelte a közösség válaszait, és figyelembe vette a felülvizsgálati folyamat megcsalásának módjait is. Greg véleménye szerint elfogadhatatlan és etikátlan ilyen kísérletek végrehajtása káros változások bevezetése érdekében.
forrás: https://lkml.org