Миннесота университетине Linux ядросун иштеп чыгууга тыюу салынган 

Грег Кроах-Хартман, Linux ядросунун туруктуу бутагын сактоо үчүн ким жооп берет билдиришти Бир нече күндөн бери ичип келе жатам Миннесота университетинен Linux ядросуна өзгөртүүлөрдү киргизбөө чечими, жана мурун кабыл алынган бардык патчтарды калыбына келтирип, аларды кайра текшериңиз.

Блокадага изилдөө тобунун ишмердүүлүгү себеп болгон ачык булактуу долбоорлордун кодексинде катылган аялуу жерлерди жайылтуу мүмкүнчүлүгүн изилдейт, анткени бул топ ар кандай каталардагы патчтарды жөнөткөн.

Көрсөткүчтү колдонуунун контекстин эске алганда, эч кандай мааниси жок болчу жана патч тапшыруунун максаты ката өзгөрүү өзөктү иштеп чыгуучулардын кароосунан өтөр-өтпөгөнүн иликтөө болгон.

Бул жамаачыдан тышкары, Миннесота университетинин иштеп чыгуучулары ядрого күмөндүү өзгөртүүлөрдү киргизүүгө дагы бир жолу аракет кылышкананын ичинде жашыруун аялуу жерлерин кошууга байланыштуу.

Жамачтарды жөнөткөн салымчы өзүн актоого аракет кылды жаңы статикалык анализаторду тестирлөө жана анализдин натыйжаларынын негизинде өзгөртүү даярдалган.

бирок Грег сунушталган түзөтүүлөр мүнөздүү эмес экендигине көңүл бурду статикалык анализаторлор тарабынан аныкталган каталар, жана жиберилген тактар ​​эч нерсени чечпейт. Каралып жаткан изилдөөчүлөр тобу буга чейин жашыруун аялуу жерлери бар чечимдерди киргизүүгө аракет кылып көрүшкөндүктөн, алар өз тажрыйбаларын ядро ​​иштеп чыгуу чөйрөсүндө улантышканы айдан ачык.

Эң кызыгы, буга чейин эксперимент тобунун лидери USB стекиндеги (CVE-2016-4482) жана тармактардагы (CVE-2016-4485) маалыматтын чыгып кетиши сыяктуу мыйзамдуу алсыздыктарды оңдоо менен алектенип келген.

Миннесота Университетинин командасы аялуу жерлердин жашыруун жайылышын изилдөөдө, CVE-2019-12819 аялуу абалын мисал келтирип, 2014-жылы өзөккө кабыл алынган патчтан келип чыккан. Бул чечим ката блогуна put_device чакыруусун кошту. mdio_bus менен иштөө, бирок беш жылдан кийин мындай манипуляция эс тутум блогуна колдонуудан кийин жеткиликтүү болууга алып келери белгилүү болду.

Ошол эле учурда, изилдөөнүн авторлору өз эмгектеринде каталарды киргизген, бирок изилдөөнүн катышуучуларына тиешеси жок 138 тактар ​​боюнча маалыматтарды жалпылашкан деп ырасташат.

Өзүңүздүн мүчүлүштүктөр патчтериңизди жөнөтүү аракеттери почта кат алышуулары менен гана чектелген жана мындай өзгөрүүлөр эч кандай өзөктүн бутагында Git жасоо баскычына өтпөй калган (эгер электрондук почта билдирүүсүн жибергенден кийин, тейлөөчү патчту нормалдуу деп тапса, анда сиз өзгөрүүнү киргизбеңиз деп суранган, анткени ката кетти, андан кийин туура патч жөнөтүлдү).

Ошондой эле, сынга алынган оңдоонун авторунун ишмердүүлүгүнө таянсак, ал көптөн бери ар кандай өзөктүн подсистемаларына түртүп келген. Мисалы, жакында radeon жана nouveau драйверлери pm_runtime_put_autosuspend (dev-> dev) бөгөттөөлөр каталарына өзгөртүүлөрдү киргизишти, бул байланыштуу эстутумду чыгаргандан кийин буферди колдонууга алып келиши мүмкүн.

Деп дагы айтылган Грег 190 байланыштуу милдеттенмени артка кайтарып, жаңы сын-пикирди баштады. Маселе, @ umn.edu салымчылары шектүү тактарды илгерилетүү менен гана чектелбестен, иш жүзүндөгү аялуу жерлерин оңдошту жана өзгөрүүлөрдү артка кайтаруу мурунку коопсуздук маселелерин кайтарууга алып келиши мүмкүн. Кээ бир тейлөөчүлөрү буга чейин жасала элек өзгөрүүлөрдү текшерип, эч кандай көйгөй тапкан жок, бирок мүчүлүштүктөрдүн тактары дагы болгон.

Миннесота университетинин компьютер илими бөлүмү билдирүү таратты ушул чөйрөдөгү тергөө иш-аракеттеринин токтотулгандыгын жарыялап, колдонулган ыкмаларды текшерүүнү демилгелөө жана бул тергөө кандайча жактырылгандыгы боюнча тергөө жүргүзүү. Натыйжалар жөнүндө отчет коомчулук менен бөлүшүлөт.

Акырында Грег коомчулуктан келген жоопторду байкагандыгын, ошондой эле карап чыгуу процессин алдоо жолдорун издөө процесси эске алынгандыгын айтты. Грегдин ою боюнча, зыяндуу өзгөрүүлөрдү киргизүү үчүн мындай эксперименттерди өткөрүү кабыл алынгыс жана этикага туура келбейт.

булагы: https://lkml.org


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.