Greg Kroah-Hartman, kush është përgjegjës për mirëmbajtjen e degës së qëndrueshme të kernelit Linux e bëri të njohur Kam pirë për disa ditë vendimi për të mohuar çdo ndryshim nga Universiteti i Minesotës në kernelin Linux, dhe ktheni të gjitha rregullimet e pranuara më parë dhe rikontrolloni ato.
Arsyeja e bllokimit ishin aktivitetet e një grupi kërkimor që studion mundësinë e promovimit të dobësive të fshehura në kodin e projekteve me burim të hapur, pasi që ky grup ka dërguar arna që përfshijnë gabime të llojeve të ndryshme.
Duke pasur parasysh kontekstin e përdorimit të treguesit, nuk kishte kuptim dhe qëllimi i paraqitjes së patch ishte të hetonte nëse ndryshimi i gabuar do të kalonte në rishikimin e zhvilluesve të kernelit.
Përveç kësaj patch, Ka pasur përpjekje të tjera nga zhvilluesit në Universitetin e Minesotës për të bërë ndryshime të diskutueshme në kernel, duke përfshirë ato që lidhen me shtimin e dobësive të fshehura.
Kontribuesi që dërgoi copëzat u përpoq të justifikonte veten duke testuar një analizues të ri statik dhe ndryshimi u përgatit bazuar në rezultatet e testit në të.
Por Greg tërhoqi vëmendjen për faktin se korrigjimet e propozuara nuk janë tipike e gabimeve të zbuluara nga analizuesit statik, dhe arnimet e dërguara nuk zgjidhin asgjë. Meqenëse grupi i studiuesve në fjalë tashmë janë përpjekur në të kaluarën të prezantojnë zgjidhje me dobësi të fshehura, është e qartë se ata kanë vazhduar eksperimentet e tyre në komunitetin e zhvillimit të kernelit.
Interesante, në të kaluarën, udhëheqësi i grupit të eksperimentimit ka qenë i përfshirë në rregullime për dobësitë legjitime, të tilla si rrjedhjet e informacionit në pirgun USB (CVE-2016-4482) dhe rrjetet (CVE-2016-4485).
Në një studim të përhapjes së fshehur të cenueshmërisë, ekipi i Universitetit të Minesotës citon një shembull të cenueshmërisë CVE-2019-12819, shkaktuar nga një copë toke që u pranua në kernel në 2014. Zgjidhja shtoi një thirrje put_device në bllokun e trajtimit të gabimeve në mdio_bus, por pesë vjet më vonë u zbulua se një manipulim i tillë do të rezultojë në përdorimin e hyrjes pa bllok në bllokun e kujtesës.
Në të njëjtën kohë, autorët e studimit pretendojnë se në punën e tyre ata përmbledhën të dhëna për 138 copëza që paraqesin gabime, por nuk kanë të bëjnë me pjesëmarrësit e studimit.
Përpjekjet për të paraqitur rregullimet tuaja të defekteve ishin të kufizuara në korrespondencën me postë dhe ndryshime të tilla nuk arritën në fazën e kryerjes së Git në ndonjë degë të bërthamës (nëse pasi të postoni me email patch mirëmbajtësi e gjeti patch-in të ishte normal, atëherë u kërkua që të mos e përfshini ndryshimin sepse ka një gabim, pas së cilës patch-i i saktë ishte dërguar).
Gjithashtu, duke gjykuar nga veprimtaria e autorit të rregullimit të kritikuar, ai ka shtyrë copëza në nënsistemet e ndryshme të kernelit për një kohë të gjatë. Për shembull, drejtuesit e radeon dhe nouveau kohët e fundit kanë miratuar ndryshime në gabimet e bllokut të pm_runtime_put_autosuspend (dev-> dev), kjo mund të çojë në përdorimin e një buffer pas lëshimit të kujtesës shoqëruese.
Përmendet gjithashtu se Greg riktheu 190 angazhime të lidhura dhe filloi një rishikim të ri. Problemi është se kontribuesit e @ umn.edu jo vetëm që eksperimentuan me promovimin e zgjidhjeve të dyshimta, ata gjithashtu rregulluan dobësitë aktuale, dhe kthimi prapa i ndryshimeve mund të çonte në kthimin e çështjeve të rregulluara më parë të sigurisë. Disa mirëmbajtës tashmë kanë rikontrolluar ndryshimet e bëra dhe nuk kanë gjetur probleme, por kishte edhe rregullime të defekteve në kod.
Departamenti i Shkencave Kompjuterike në Universitetin e Minesotës lëshoi një deklaratë duke njoftuar pezullimin e hetimit në këtë fushë, inicimi i vlefshmërisë së metodave të përdorura dhe kryerja e një hetimi se si është aprovuar ky hetim. Raporti i rezultateve do të ndahet me komunitetin.
Më në fund Greg përmend që ai ka vëzhguar përgjigjet nga komuniteti dhe gjithashtu duke marrë parasysh procesin e eksplorimit të mënyrave për të mashtruar procesin e rishikimit. Sipas mendimit të Gregut, kryerja e eksperimenteve të tilla për të futur ndryshime të dëmshme është e papranueshme dhe jo etike.
Fuente: https://lkml.org