Миннесотагийн их сургууль Линукс цөм хөгжүүлэхийг хориглосон 

Грег Кроах-Хартман, Линуксийн цөмийн тогтвортой салбарыг хадгалах үүрэгтэй үүнийг мэдэгдсэн Би хэд хоног архи ууж байна Миннесотагийн их сургуулиас Линуксийн цөмд өөрчлөлт оруулахыг үгүйсгэх шийдвэр, өмнө нь хүлээн авсан бүх нөхөөсийг буцааж дахин шалгана уу.

Блоклох болсон шалтгаан нь судалгааны бүлгийн үйл ажиллагаатай холбоотой байв нээлттэй эхийн төслүүдийн кодонд нуугдсан эмзэг байдлыг сурталчлах боломжийг судалдаг.Учир нь энэ бүлэг нь янз бүрийн төрлийн алдааг багтаасан засваруудыг илгээсэн болно.

Заагчийг ашиглах нөхцөлийг харгалзан үзэхэд ямар ч утгагүй байсан бөгөөд нөхөөсийг оруулах зорилго нь алдаатай өөрчлөлт нь цөм хөгжүүлэгчдийн хяналтаас гарах эсэхийг судлах явдал байв.

Энэ нөхөөсөөс гадна Миннесотагийн Их Сургуулийн хөгжүүлэгчид цөмд эргэлзээтэй өөрчлөлт оруулах гэсэн өөр оролдлогууд гарч байсанүүнд далд эмзэг байдлыг нэмэхтэй холбоотой асуудлууд орно.

Засваруудыг илгээсэн хувь нэмэр оруулсан хүн өөрийгөө зөвтгөхийг оролдов шинэ статик анализаторыг турших ба түүн дээрх туршилтын үр дүнд үндэслэн өөрчлөлтийг бэлтгэв.

Гэхдээ Санал болгож буй залруулга нь ердийн зүйл биш гэдгийг Грег анхааралдаа авав статик анализаторын илрүүлсэн алдааны тухай, мөн илгээсэн засварууд нь юу ч шийддэггүй. Асуудлын талаархи судлаачдын бүлэг өмнө нь нуугдмал эмзэг байдал бүхий шийдлүүдийг нэвтрүүлэхээр аль хэдийн туршиж үзсэн тул тэд туршилтаа цөмийн хөгжлийн бүлгүүдэд үргэлжлүүлэн хийсэн нь тодорхой байна.

Сонирхолтой нь, туршилтын бүлгийн удирдагч урьд нь USB стек (CVE-2016-4482) болон сүлжээн дэх мэдээлэл алдагдсан (CVE-2016-4485) зэрэг хууль ёсны эмзэг байдлыг засах ажилд оролцож байсан.

Миннесотагийн Их Сургуулийн баг далд эмзэг байдлын тархалтыг судлахдаа 2019 онд цөмд хүлээн авсан нөхөөсөөс үүдэлтэй CVE-12819-2014-ийн эмзэг байдлын жишээг дурдав. Энэхүү шийдэл нь алдаатай харьцах хэсэгт put_device дуудлага оруулсан болно. mdio_bus дээр, гэхдээ таван жилийн дараа иймэрхүү заль мэх нь санах ойн блок руу үнэгүй ашиглагдах боломжтой болох нь тогтоогджээ.

Үүний зэрэгцээ, судалгааны зохиогчид өөрсдийн бүтээлдээ алдаа оруулсан 138 засварын талаархи мэдээллийг нэгтгэсэн боловч судалгаанд оролцогчидтой холбоогүй гэж мэдэгджээ.

Өөрийн алдааны нөхөөсийг оруулах оролдлогыг шуудангийн захидлаар хязгаарласан болно ийм өөрчлөлтүүд нь аль ч цөмийн салбар дахь Git гүйцэтгэх шатанд хүрч чадаагүй (хэрэв засварыг и-мэйлээр явуулсны дараа засварлагч нөхөөсийг хэвийн гэж үзвэл алдаа гарсан тул өөрчлөлтийг оруулахгүй байхыг хүссэн бөгөөд дараа нь зөв нөхөлт хийгдсэн байв ачуулсан).

Түүнчлэн, шүүмжилсэн засварын зохиогчийн үйл ажиллагаанаас харахад тэрээр янз бүрийн цөмийн дэд систем рүү засваруудыг түлхэж байсан. Жишээлбэл, radeon ба nouveau драйверууд pm_runtime_put_autosuspend (dev-> dev) блокийн алдаануудад өөрчлөлт оруулсан нь холбогдох санах ойг гаргасны дараа буфер ашиглахад хүргэж болзошгүй юм.

Үүнийг бас дурдсан Грег холбогдох 190 үүрэг даалгаврыг буцааж шинэ тойм эхлүүлэв. Асуудал нь @ umn.edu хувь нэмэр оруулагчид эргэлзээтэй нөхөөсийг сурталчлах туршилт хийгээд зогсохгүй бодит эмзэг байдлыг арилгаж, өөрчлөлтийг буцааж өгөх нь урьд өмнө аюулгүй байдлын асуудлуудыг буцааж өгөхөд хүргэж болзошгүй юм. Зарим засвар үйлчилгээ эрхлэгчид хийгдээгүй өөрчлөлтүүдийг аль хэдийн шалгаж үзсэн бөгөөд ямар ч асуудалгүй байсан боловч алдааны засварууд бас байсан.

Миннесотагийн Их сургуулийн компьютерийн тэнхим мэдэгдэл гаргасан энэ чиглэлээр мөрдөн байцаалтыг түдгэлзүүлж байгаагаа мэдэгдэж, ашигласан аргын баталгаажуулалтыг эхлүүлэх, энэхүү мөрдөн байцаалтыг хэрхэн зөвшөөрсөн талаар мөрдөн байцаалт явуулах. Үр дүнгийн тайланг олон нийтэд хүргэх болно.

Эцэст нь Грег олон нийтийн зүгээс өгсөн хариуг ажиглаж, хянах явцыг хуурах арга замыг судлах үйл явцыг харгалзан үзсэнээ дурдав. Грегийн үзэж байгаагаар хортой өөрчлөлтийг нэвтрүүлэх зорилгоор ийм туршилт хийх нь хүлээн зөвшөөрөгдөхгүй бөгөөд ёс зүйгүй юм.

Эх сурвалж: https://lkml.org


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.