D'Universitéit vu Minnesota verbannt vu Linux Kernel Entwécklung 

Greg Kroah-Hartman, wien ass verantwortlech fir d'stabil Branche vum Linux Kernel z'ënnerhalen huet et bekannt gemaach Ech hunn e puer Deeg gedronk d'Entscheedung all Ännerunge vun der University of Minnesota zum Linux Kernel ze verleegnen, a setzt all virdrun akzeptéiert Patcher zréck a kontrolléiert se erëm.

De Grond fir d'Blockade war d'Aktivitéite vun enger Fuerschungsgrupp datt d'Méiglechkeet studéiert verstoppte Schwachlëchkeet am Code vun Open Source Projeten ze promoten, well dës Grupp Patches verschéckt huet déi Feeler vu verschiddenen Typen enthalen.

Kritt de Kontext vum Gebrauch vum Zeiger, huet et kee Sënn gemaach an den Zweck vun der Patch Soumissioun war ze ermëttelen ob déi falsch Ännerung de Kernel Entwéckler iwwerpréift.

Zousätzlech zu dësem Patch, Et goufen aner Versich vun Entwéckler op der University of Minnesota fir zweifelhaft Ännerungen am Kernel ze maachen, inklusiv déi am Zesummenhang mat derbäi verstoppte Schwachstelle.

De Mataarbechter deen d'Patcher geschéckt huet probéiert sech selwer ze justifizéieren en neien stateschen Analysator testen an d'Ännerung gouf op Basis vun den Testresultater drop virbereet.

Awer De Greg huet op d'Tatsaach opmierksam gemaach datt déi proposéiert Korrekturen net typesch sinn vu Feeler, déi vu stateschen Analysatoren detektéiert ginn, an déi verschéckt Flécken léisen näischt. Well d'Grupp vun de Fuerscher a Fro scho probéiert hunn an der Vergaangenheet Léisunge mat verstoppte Schwachlëchkeeten anzeféieren, ass et kloer datt se hir Experimenter an der Kernel Entwécklungsgemeinschaft weidergefouert hunn.

Interessanterweis an der Vergaangenheet war de Leader vun der Experimentéierungsgrupp a Fixe fir legitim Schwächen involvéiert, wéi zB Informatiounsfleck um USB Stack (CVE-2016-4482) an Netzwierker (CVE-2016-4485).

An enger Studie vun der verstoppter Ausbreedung vu Schwachlëcht zitéiert d'Universitéit vu Minnesota Team e Beispill vun der CVE-2019-12819 Schwachstelle, verursaacht duerch e Patch deen am Kärel am Joer 2014 akzeptéiert gouf. Ëmgank am mdio_bus, awer fënnef Joer méi spéit gouf erausfonnt, datt sou eng Manipulatioun am Benotzungs-no-gratisen Zougank zum Memoryblock resultéiere wäert.

Zur selwechter Zäit behaapten d'Studienautoren datt se an hirer Aarbecht Daten iwwer 138 Flecken zesummefaassen, déi Feeler aféieren, awer net mat de Studiebedeelegten ze dinn hunn.

Versich Är eege Feelerpatcher ofzeginn ware limitéiert op Mailkorrespondenz an esou Ännerungen hunn et net op d'Git-Verfaassungsstufe gemaach an all Kernelzweig (wann nom Ënnerhalt vum Patch den Ënnerhalt de Patch als normal fonnt huet, da sidd Dir gefrot d'Ännerung net matzemaachen, well et ass e Feeler, no deem de richtegen Patch gouf verschéckt).

Och no der Aktivitéit vum Autor vum kritiséierte Fix ze beuerteelen, huet hie Patcher fir verschidde Kernelsubsystemer fir eng laang Zäit gedréckt. Zum Beispill Radeon an Nouveau Treiber hunn kierzlech Ännerungen u pm_runtime_put_autosuspend (dev-> dev) blockéiert Feeler ugeholl, et kann zu der Notzung vun engem Puffer féieren nodeems de verbonne Gedächtnis fräigelooss gëtt.

Et gëtt och erwähnt datt De Greg huet 190 assoziéiert Engagementer zréckgezunn an eng nei Bewäertung ugefaang. De Problem ass datt @ umn.edu Mataarbechter net nëmmen experimentéiert mat zweifelhafte Patches experimentéiert hunn, se hunn och tatsächlech Schwachlëchtheeten fixéiert, an d'Ännerunge zréckzéien kënnen zum Retour vu virdrun fixe Sécherheetsprobleemer féieren. E puer Inhaber hunn déi ongeschaffte Verännerunge scho kontrolléiert a keng Probleemer fonnt, awer et goufen och Feelerflecken.

De Department of Computer Science an der University of Minnesota huet eng Ausso erausginn annoncéiert d'Suspension vun der Enquête an dësem Beräich, d'Validéierung vun de benotzte Methoden anzeféieren an eng Enquête ze maachen, wéi dës Enquête genehmegt gouf. De Resultater Rapport gëtt mat der Gemeinschaft gedeelt.

Schlussendlech ernimmt de Greg datt hien d'Äntwerten aus der Gemeinschaft observéiert huet an och de Prozess berécksiichtegt Weeër ze explodéieren fir den Iwwerpréiwungsprozess ze fuddelen. Dem Greg seng Meenung, sou Experimenter ze maachen fir schiedlech Ännerungen anzeféieren ass inakzeptabel an onethesch.

Source: https://lkml.org


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.