Greg Kroah-Hartman, quem é responsável por manter o branch estável do kernel Linux tornou conhecido Eu tenho bebido por vários dias a decisão de negar qualquer mudança da Universidade de Minnesota para o kernel do Linuxe reverta todos os patches aceitos anteriormente e verifique-os novamente.
O motivo do bloqueio foram as atividades de um grupo de pesquisa que estuda a possibilidade de promover vulnerabilidades ocultas no código de projetos de código aberto, uma vez que este grupo tem enviado patches que incluem erros de vários tipos.
Dado o contexto de uso do ponteiro, não fazia sentido e o objetivo do envio do patch era investigar se a alteração errônea passaria pela análise dos desenvolvedores do kernel.
Além deste patch, Houve outras tentativas de desenvolvedores da Universidade de Minnesota de fazer mudanças questionáveis no kernel, incluindo aqueles relacionados à adição de vulnerabilidades ocultas.
O contribuidor que enviou os patches tentou se justificar testar um novo analisador estático e a mudança foi preparada com base nos resultados do teste nele.
Mas Greg chamou a atenção para o fato de que as correções propostas não são típicas de erros detectados por analisadores estáticos, e os patches enviados não resolvem nada. Como o grupo de pesquisadores em questão já tentou no passado apresentar soluções com vulnerabilidades ocultas, é claro que eles continuaram seus experimentos na comunidade de desenvolvimento de kernel.
Curiosamente, no passado, o líder do grupo de experimentação esteve envolvido em consertos para vulnerabilidades legítimas, como vazamento de informações na pilha USB (CVE-2016-4482) e redes (CVE-2016-4485).
Em um estudo de propagação oculta de vulnerabilidades, a equipe da Universidade de Minnesota cita um exemplo da vulnerabilidade CVE-2019-12819, causada por um patch que foi aceito no kernel em 2014. A solução adicionou uma chamada put_device ao bloco de erro manipulação em mdio_bus, mas cinco anos depois foi revelado que tal manipulação resultaria em acesso de uso pós-livre ao bloco de memória.
Ao mesmo tempo, os autores do estudo afirmam que em seu trabalho resumiram dados em 138 patches que introduzem erros, mas não estão relacionados aos participantes do estudo.
As tentativas de enviar seus próprios patches de bug foram limitadas a correspondência por correio e tais mudanças não chegaram ao estágio de confirmação do Git em qualquer branch do kernel (se após enviar o patch por e-mail o mantenedor achou o patch normal, então você foi solicitado a não incluir a mudança porque há um erro, após o qual o patch foi enviado).
Além disso, a julgar pela atividade do autor da correção criticada, ele tem enviado patches para vários subsistemas do kernel por um longo tempo. Por exemplo, os drivers radeon e nouveau adotaram recentemente alterações nos erros de bloco pm_runtime_put_autosuspend (dev-> dev), isso pode levar ao uso de um buffer após liberar a memória associada.
Também é mencionado que Greg reverteu 190 confirmações associadas e iniciou uma nova revisão. O problema é que os contribuidores de @ umn.edu não apenas experimentaram promover patches questionáveis, mas também consertaram vulnerabilidades reais, e reverter as alterações pode levar ao retorno de problemas de segurança corrigidos anteriormente. Alguns mantenedores já verificaram novamente as mudanças não feitas e não encontraram problemas, mas também havia correções de bug.
O Departamento de Ciência da Computação da Universidade de Minnesota emitiu uma declaração anunciando a suspensão da investigação nesta área, iniciar a validação dos métodos usados e conduzir uma investigação sobre como essa investigação foi aprovada. O relatório de resultados será compartilhado com a comunidade.
Por fim, Greg menciona que observou as respostas da comunidade e também levou em consideração o processo de explorar maneiras de burlar o processo de revisão. Na opinião de Greg, conduzir tais experimentos para introduzir mudanças prejudiciais é inaceitável e antiético.
fonte: https://lkml.org