אוניברסיטת מינסוטה נאסרה על פיתוח ליבות לינוקס 

גרג קרואה-הרטמן, מי אחראי על שמירה על הענף היציב של ליבת לינוקס הודיע ​​על כך אני שותה כבר כמה ימים ההחלטה להכחיש כל שינוי מאוניברסיטת מינסוטה בליבת הלינוקס, ובטל את כל התיקונים המקובלים בעבר ובדוק אותם מחדש.

הסיבה לחסימה הייתה פעילות של קבוצת מחקר החוקרת אפשרות לקדם פגיעות נסתרות בקוד של פרויקטים של קוד פתוח, מכיוון שקבוצה זו שלחה תיקונים הכוללים שגיאות מסוגים שונים.

בהתחשב בהקשר של השימוש במצביע, זה לא היה הגיוני ומטרת הגשת התיקון הייתה לבדוק האם השינוי השגוי יעבור את סקירת מפתחי הליבה.

בנוסף לתיקון זה, היו ניסיונות אחרים של מפתחים מאוניברסיטת מינסוטה לבצע שינויים מפוקפקים בגרעין, כולל אלה הקשורים להוספת פגיעויות נסתרות.

התורם ששלח את התיקונים ניסה להצדיק את עצמו בדיקת מנתח סטטי חדש והשינוי הוכן על סמך תוצאות הבדיקה עליו.

אבל גרג הפנה את תשומת הלב לעובדה שהתיקונים המוצעים אינם אופייניים שגיאות שזוהו על ידי מנתחים סטטיים, והתיקונים שנשלחו אינם פותרים דבר. מכיוון שקבוצת החוקרים המדוברת כבר ניסתה בעבר להציג פתרונות עם פגיעות נסתרות, ברור שהם המשיכו בניסויים בקהילת פיתוח הגרעינים.

מעניין כי בעבר מנהיג קבוצת הניסויים היה מעורב בתיקונים לפגיעויות לגיטימיות, כגון דליפת מידע בערימת ה- USB (CVE-2016-4482) וברשתות (CVE-2016-4485).

במחקר על התפשטות פגיעות נסתרת, צוות אוניברסיטת מינסוטה מביא דוגמה לפגיעות CVE-2019-12819, שנגרמה על ידי תיקון שהתקבל לליבה בשנת 2014. הפיתרון הוסיף שיחת put_device לגוש הטיפול בשגיאות ב- mdio_bus, אך חמש שנים לאחר מכן התגלה כי מניפולציה כזו תביא לגישה לאחר שימוש חופשית לבלוק הזיכרון.

יחד עם זאת, מחברי המחקר טוענים כי בעבודתם הם סיכמו נתונים על 138 תיקונים המציגים שגיאות, אך אינם קשורים למשתתפי המחקר.

הניסיונות להגיש תיקוני באגים משלכם הוגבלו להתכתבויות בדואר ושינויים כאלה לא הגיעו לשלב ההתחייבות של Git בשום ענף גרעין כלשהו (אם לאחר שליחת דוא"ל לתיקון, המתחזק מצא שהתיקון תקין, התבקשת לא לכלול את השינוי מכיוון שיש שגיאה, שאחריה התיקון הנכון היה נשלח).

כמו כן, אם לשפוט מפעילות מחבר התיקון שנמתח עליו ביקורת, הוא דוחף טלאים לתתי מערכות ליבה שונות. לדוגמה, מנהלי התקנים של radeon ו- nouveau אימצו לאחרונה שינויים בשגיאות החסימה pm_runtime_put_autosuspend (dev-> dev), זה עלול להוביל לשימוש במאגר לאחר שחרור זיכרון משויך.

מוזכר גם ש גרג החזיר 190 התחייבויות קשורות והתחיל ביקורת חדשה. הבעיה היא שתורמים של @ umn.edu לא רק התנסו בקידום טלאים מפוקפקים, אלא גם תיקנו נקודות תורפה בפועל, והחזרת השינויים לאחור עלולה להוביל להחזרת בעיות אבטחה שתוקנו בעבר. חלק מהמתחזקים כבר בדקו מחדש את השינויים שלא בוצעו ולא מצאו שום בעיות, אך היו גם תיקוני באגים.

המחלקה למדעי המחשב באוניברסיטת מינסוטה הוציא הודעה הודיעה על השעיית החקירה בתחום זה, ייזום אימות השיטות הנהוגות וביצוע חקירה כיצד אושרה חקירה זו. דוח התוצאות ישותף עם הקהילה.

לבסוף מזכיר גרג שהוא צפה בתגובות הקהילה וגם לוקח בחשבון את תהליך בחינת הדרכים לרמות את תהליך הביקורת. לדעת גרג, ביצוע ניסויים כאלה בכדי להכניס שינויים מזיקים אינו מקובל ולא מוסרי.

מקור: https://lkml.org


היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.