Detailer iwwer d'Patcher déi vun der University of Minnesota agereecht goufen

Wärend de leschten Deeg huet den Fall iwwer d'Aktiounen vun enger Grupp vu Fuerscher geholl vun der University of Minnesota, well aus der Perspektiv vu villen, sou Handlungen a Bezuch op d'Aféierung vu Schwachlëchkeet am Linux Kernel hu keng Justifikatioun.

An och wann e Grupp Universitéit vu Minnesot Fuerscheren oppenen Entschëllegungsbréif ze publizéieren, deem seng Akzeptanz vun Ännerunge vum Linux Kernel dee blockéiert gouf De Greg Kroah-Hartman, huet Detailer verroden vu Patcher déi dem Kernel Entwéckler ofgeliwwert goufen a Korrespondenz mat Inhaber déi mat dëse Patches verbonne sinn.

Et ass bemierkenswäert datt all Problem Patches goufen ofgeleent Op Initiativ vun den Ënnerhalter gouf kee vun de Patcher guttgeheescht. Dëse Fakt mécht et kloer firwat de Greg Kroah-Hartman sou haart gehandelt huet, well et ass net kloer wat d'Fuerscher gemaach hätten wann d'Flecken vum Ënnerhalt guttgeheescht goufen.

Am Réckbléck, argumentéiert datt se de Feeler gemellt hunn a si géifen net erlaabt datt Patches op Git goen, awer et ass onkloer wat se tatsächlech géife maachen oder wéi wäit se kéinte goen.

Am Ganze goufen am August 2020 fënnef Patches vun den anonyme Adressen acostag.ubuntu@gmail.com a jameslouisebond@gmail.com (e Bréif vum James Bond) geschéckt: zwee richteg an dräi abegraff verstoppte Feeler, déi Konditioune schafen fir d'Erscheinung vun Schwachlëchkeet.

All Patch enthält nëmmen 1 bis 4 Zeilen Code. D'Haaptiddi hannert de schlechte Patches war datt de Fixéiere vun engem Gedächtnisleck eng Bedingung fir eng duebel fräi Schwachstelle kéint schafen.

De Projet soll d'Sécherheet vum Fléckprozess am OSS verbesseren. Als Deel vum Projet studéiere mir potenziell Probleemer mam OSS Fléckprozess, inklusiv d'Ursaache vun de Probleemer a Virschléi fir se unzegoen.

Tatsächlech weist dës Studie e puer Probleemer, awer säin Zil ass Efforten ze ruffen fir de
Fléckprozess fir méi Aarbecht ze motivéieren fir Techniken z'entwéckele fir Flecken ze testen an z'iwwerpréiwen, a schliisslech fir den OS méi sécher ze maachen.

Baséierend op dës Patches, resüméiere mir hir Musteren, studéiere spezifesch Grënn firwat Feeleraféierung Patches schwéier fänken (mat qualitativer a quantitativer Analyse), a virun allem Virschléi fir de Problem unzegoen.

Den éischte problematesche Patch huet d'Erënnerung Leck fixéiert andeems en Uruff op kfree bäigefüügt () ier Dir d'Kontroll am Fall vun engem Feeler zréckschéckt, awer Konditioune kreéiert fir op de Gedächtnisberäich zouzegräifen nodeems et befreit gouf (benotzt-no-fräi).

De spezifizéierte Patch gouf vum Ënnerhalt verworf, deen de Problem identifizéiert huet an uginn datt ee virun engem Joer scho probéiert hat eng ähnlech Ännerung virzebereeden an et gouf ufanks ugeholl, awer deeselwechten Dag no der Identifikatioun vun de Schwachstellebedingunge verworf.

Deen zweete Patch enthält och Konditioune fir de Post-Release-Droe-Thema. De spezifizéierte Patch gouf net vum Ënnerhalter akzeptéiert, deen de Patch verworf huet wéinst engem anere Problem mat list_add_tail, awer net gemierkt huet datt den "chdev" Zeiger an der put_device Funktioun verëffentlecht ka ginn, déi duerno am Ruff zu dev_err (& chdev -> Dev ..). Wéi och ëmmer, de Patch gouf net akzeptéiert, awer aus Grënn déi net mat der Schwachstelle verbonne sinn.

Virwëtzeg, am Ufank gouf ugeholl datt 4 vu 5 Patcher Problemer haten, awer d'Fuerscher selwer hunn e Feeler gemaach an an engem problematesche Patch, an hirer Meenung no gouf déi richteg Léisung proposéiert, ouni déi vermeintlech Konditioune fir de Memory nom Start ze benotzen.

An dësem Wierk presentéiere mir d'Konzept vun "onreiflecher Schwachstelle" wou e Konditioun vu Schwachstelle feelt, awer et kann e reelle ginn wann d'Konditioun implizit ass
agefouert vun engem Patch fir en anere Feeler.

Mir entwéckelen och Tools, déi eis hëllefen, Codeplazen ze fannen, déi kënne leiden
vun de Feeleraféierungspatcher a proposéiere wat dës Feeleraféierungspatche schwéier ze detektéiere maachen.

Eng Woch méi spéit gouf Informatioun un d'Kerneentwéckler geschéckt mat enger Propose fir d'Méiglechkeet ze diskutéiere Schwächen ze promoten ënner dem Deckmant vun triviale Fixéiere fir Gedächtnislecker, awer näischt gouf gesot iwwer fréier Versich béiswëlleg Patches ofzeginn.

Den drëtten Patch et gouf och vum Ënnerhalt refuséiert wéinst engem anere Feeler ouni Schwachstelle (duebel Uwendung am pdev).


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.