Greg Kroah Hartman, chi è responsabile del mantenimento del ramo stabile del kernel Linux lo ha reso noto Bevo da diversi giorni la decisione di negare qualsiasi modifica dall'Università del Minnesota al kernel Linuxe ripristina tutte le patch precedentemente accettate e ricontrollale.
Il motivo del blocco erano le attività di un gruppo di ricerca che studia la possibilità di promuovere vulnerabilità nascoste nel codice di progetti open source, poiché questo gruppo ha inviato patch che includono errori di vario tipo.
Dato il contesto di utilizzo del puntatore, non aveva senso e lo scopo dell'invio della patch era di indagare se la modifica errata avrebbe superato la revisione degli sviluppatori del kernel.
Oltre a questa patch, Ci sono stati altri tentativi da parte degli sviluppatori dell'Università del Minnesota di apportare modifiche discutibili al kernel, comprese quelle relative all'aggiunta di vulnerabilità nascoste.
Il collaboratore che ha inviato le patch ha cercato di giustificarsi testare un nuovo analizzatore statico e la modifica è stata preparata sulla base dei risultati del test su di esso.
Ma Greg ha richiamato l'attenzione sul fatto che le correzioni proposte non sono tipiche di errori rilevati da analizzatori statici, e le patch inviate non risolvono nulla. Poiché il gruppo di ricercatori in questione ha già provato in passato a introdurre soluzioni con vulnerabilità nascoste, è chiaro che hanno continuato i loro esperimenti nella comunità di sviluppo del kernel.
È interessante notare che in passato il leader del gruppo di sperimentazione è stato coinvolto nella correzione di vulnerabilità legittime, come la fuga di informazioni sullo stack USB (CVE-2016-4482) e sulle reti (CVE-2016-4485).
In uno studio sulla propagazione delle vulnerabilità nascoste, il team dell'Università del Minnesota cita un esempio della vulnerabilità CVE-2019-12819, causata da una patch che è stata accettata nel kernel nel 2014. La soluzione ha aggiunto una chiamata put_device al blocco di gestione degli errori in mdio_bus, ma cinque anni dopo è stato rivelato che tale manipolazione avrebbe comportato un accesso gratuito al blocco di memoria.
Allo stesso tempo, gli autori dello studio affermano che nel loro lavoro hanno riassunto i dati su 138 patch che introducono errori, ma non sono correlati ai partecipanti allo studio.
I tentativi di inviare le proprie patch di bug sono stati limitati alla corrispondenza per posta e tali modifiche non sono state apportate alla fase di commit di Git su nessun ramo del kernel (se dopo aver inviato la patch il manutentore ha trovato la patch normale, ti è stato chiesto di non includere la modifica perché c'è un errore, dopodiché il corretto la patch è stata spedita).
Inoltre, a giudicare dall'attività dell'autore della correzione criticata, ha applicato a lungo patch a vari sottosistemi del kernel. Ad esempio, i driver radeon e nouveau hanno recentemente adottato modifiche agli errori di blocco pm_runtime_put_autosuspend (dev-> dev), potrebbe portare all'uso di un buffer dopo aver rilasciato la memoria associata.
Si dice anche che Greg ha ripristinato 190 commit associati e ha avviato una nuova revisione. Il problema è che i contributori di @ umn.edu non solo hanno sperimentato la promozione di patch discutibili, ma hanno anche risolto le vulnerabilità effettive e il ripristino delle modifiche potrebbe portare al ritorno di problemi di sicurezza precedentemente risolti. Alcuni manutentori hanno già ricontrollato le modifiche non apportate e non hanno riscontrato problemi, ma c'erano anche correzioni di bug.
Il Dipartimento di Informatica presso l'Università del Minnesota ha rilasciato una dichiarazione annunciando la sospensione delle indagini in materia, avviare la convalida dei metodi utilizzati e condurre un'indagine sulle modalità di approvazione dell'indagine. Il report dei risultati sarà condiviso con la comunità.
Infine Greg afferma di aver osservato le risposte della comunità e di aver anche preso in considerazione il processo di esplorazione dei modi per ingannare il processo di revisione. Secondo Greg, condurre tali esperimenti per introdurre cambiamenti dannosi è inaccettabile e non etico.
fonte: https://lkml.org