गेल्या काही दिवसात संशोधकांच्या गटाने केलेल्या क्रियेवरील प्रकरण मिनेसोटा विद्यापीठातूनअनेकांच्या दृष्टीकोनातून, लिनक्स कर्नलमधील असुरक्षा ओळखण्याच्या संदर्भात अशा कृतींचे औचित्य नाही.
आणि जरी एक गट मिनेसोट विद्यापीठातील संशोधकदिलगिरी व्यक्त करण्यासाठी एक मुक्त पत्र प्रकाशित करण्यासाठी ज्यांच्याद्वारे अवरोधित केलेल्या लिनक्स कर्नलमधील बदलांची स्वीकृती ग्रेग क्रोह-हार्टमॅनने तपशील उघड केला कर्नल विकसकांना सबमिट केलेल्या पॅचेस आणि या पॅचेस संबंधित देखभालकर्त्यांशी पत्रव्यवहार.
हे लक्षात घेण्यासारखे आहे सर्व समस्या पॅच नाकारले होते देखभालकर्त्यांच्या पुढाकाराने कोणत्याही पॅचला मंजुरी मिळाली नाही. ही वस्तुस्थिती स्पष्ट करते की ग्रेग क्रोह-हार्टमॅनने इतके कठोरपणे का वागे केले कारण संशोधकांनी काय केले असेल हे अस्पष्ट आहे कारण पॅच देखभालकाने मंजूर केले असते.
पूर्वस्थितीत, त्यांचा असा दोष आहे की बग नोंदविण्याचा त्यांचा हेतू होता आणि त्यांनी पॅचला गीतेकडे जाऊ दिले नाही, परंतु ते प्रत्यक्षात काय करतात किंवा ते किती अंतरावर जाऊ शकतात हे अस्पष्ट आहे.
एकूणच, ऑगस्ट 2020 मध्ये, अज्ञात पत्ते acostag.ubuntu@gmail.com आणि jameslouisebond@gmail.com (जेम्स बाँडचे एक पत्र) वरून पाच पॅचेस पाठविले गेले: दोन बरोबर आणि तीन लपविलेल्या त्रुटींसह, दिसण्यासाठी परिस्थिती निर्माण करणे असुरक्षा
प्रत्येक पॅचमध्ये कोडच्या फक्त 1 ते 4 ओळी असतात. खराब पॅचेसची मुख्य कल्पना अशी होती की मेमरी गळतीचे निराकरण केल्याने दुहेरी मुक्त असुरक्षिततेची स्थिती निर्माण होऊ शकते.
ओएसएसमधील पॅचिंग प्रक्रियेची सुरक्षा सुधारण्याचे या प्रकल्पाचे उद्दीष्ट आहे. प्रकल्पाचा एक भाग म्हणून, आम्ही ओएसएस पॅचिंग प्रक्रियेसह संभाव्य समस्यांचा अभ्यास करतो ज्यामध्ये अडचणींचे कारण आणि त्यांच्याकडे लक्ष देण्याच्या सूचनांचा समावेश आहे.
खरं तर, हा अभ्यास काही समस्या प्रकट करतो, परंतु त्या सुधारण्यासाठी प्रयत्नांची मागणी करणे हे त्याचे उद्दीष्ट आहे
पॅचची चाचणी आणि सत्यापन करण्याची तंत्रे विकसित करण्यासाठी अधिक कार्य करण्यास प्रवृत्त करण्यासाठी आणि ओएसला अधिक सुरक्षित बनविण्यासाठी पॅचिंग प्रक्रिया.या पॅचेसच्या आधारे, आम्ही त्यांचे नमुने सारांश करतो, बग परिचय पॅच पकडणे कठीण का आहे याची विशिष्ट कारणे (गुणात्मक आणि परिमाणात्मक विश्लेषणासह) का अभ्यास करतो आणि मुख्य म्हणजे समस्येच्या निराकरणासाठी सूचना प्रदान करतो.
प्रथम समस्याग्रस्त पॅचने केफ्री () वर कॉल जोडून मेमरी गळतीचे निराकरण केले त्रुटी असल्यास नियंत्रण परत करण्यापूर्वी, परंतु ते मोकळे झाल्यावर मेमरी क्षेत्रामध्ये प्रवेश करण्यासाठी परिस्थिती निर्माण करणे (मुक्त-वापरा)
निर्दिष्ट पॅच देखभालकाने नकार दिला होता, ज्याने समस्या ओळखली आणि सूचित केले की एक वर्षापूर्वी एखाद्याने आधीपासूनच असाच बदल करण्याचा प्रस्ताव ठेवला होता आणि तो सुरुवातीला स्वीकारला गेला होता, परंतु असुरक्षा परिस्थिती ओळखल्यानंतर त्याच दिवशी टाकून दिले.
दुसर्या पॅचमध्ये रिलीजनंतरच्या पोशाख इश्यूसाठी देखील अटी आहेत. निर्दिष्ट पॅच देखभालकर्त्याने स्वीकारला नाही, ज्याने list_add_tail च्या दुसर्या समस्येमुळे पॅच नाकारला, परंतु "chdev" पॉईंटर पुट_डवाइस फंक्शनमध्ये मोकळा होऊ शकतो हे लक्षात आले नाही, जे देव_रर (व chdev -> देव ..). तथापि, असुरक्षाशी संबंधित नसलेल्या कारणास्तव पॅच स्वीकारला गेला नाही.
उत्सुकतेने, सुरुवातीला असे मानले गेले की 4 पैकी 5 पॅचमध्ये समस्या आहेत, परंतु संशोधकांनी स्वतःच चूक केली आणि समस्याग्रस्त पॅचमध्ये, त्यांच्या मते, प्रक्षेपणानंतर मेमरी वापरण्याची कल्पना न करता योग्य समाधान प्रस्तावित केले.
या कामात आम्ही «अपरिपक्व असुरक्षा of अशी संकल्पना सादर करतो जिथे अगतिकतेची स्थिती नसते परंतु जेव्हा अट स्पष्टपणे येते तेव्हा ती वास्तविक बनू शकते
दुसर्या बगसाठी ठिगळ्याने ओळख करून दिली.आम्ही त्रास देऊ शकतील अशा कोडची ठिकाणे शोधण्यात मदत करणारी साधने देखील विकसित करतो
बग परिचय पॅचचे आणि हे सूचित करते की या बग परिचय पॅचेस शोधणे कठीण होऊ शकते.एका आठवड्यानंतर, कर्नल विकसकांना मेमरी गळतीसाठी क्षुल्लक निराकरणाच्या आडखाली असुरक्षा वाढविण्याच्या शक्यतेविषयी चर्चा करण्याच्या प्रस्तावासह माहिती पाठविली गेली, परंतु दुर्भावनापूर्ण पॅचेस सबमिट करण्याच्या मागील प्रयत्नांबद्दल काहीही सांगितले गेले नाही.
तिसरा पॅच देखील असुरक्षिततेशिवाय दुसर्या बगमुळे (पीडीएमध्ये दुहेरी अनुप्रयोग) देखभालकाने नाकारला.