Грег Кроах-Хартман, који је одговоран за одржавање стабилне гране Линук језгра дао до знања Пио сам неколико дана одлука да се одбију било какве промене са језгра Линук-а на Универзитету Минесотаи вратите све претходно прихваћене закрпе и поново их проверите.
Разлог блокаде биле су активности истраживачке групе који проучава могућност промовисања скривених рањивости у коду пројеката отвореног кода, јер је ова група послала закрпе које укључују грешке различитих врста.
С обзиром на контекст употребе показивача, то није имало смисла и сврха подношења закрпе била је истражити да ли ће погрешна промена проћи преглед програмера језгра.
Поред овог фластера, Било је и других покушаја програмера са Универзитета у Минесоти да унесу сумњиве промене у језгро, укључујући оне повезане са додавањем скривених рањивости.
Сарадник који је послао закрпе покушао је да се оправда тестирање новог статичког анализатора и промена је припремљена на основу резултата испитивања на њему.
Крушка Грег је скренуо пажњу на то да предложене корекције нису типичне грешака које откривају статички анализатори, а послати закрпе не решавају ништа. Будући да је дотична група истраживача већ покушала да уведе решења са скривеним рањивостима, јасно је да су наставили своје експерименте у заједници за развој језгра.
Занимљиво је да је у прошлости вођа експерименталне групе био укључен у поправке легитимних рањивости, као што је цурење информација на УСБ стеку (ЦВЕ-2016-4482) и мрежама (ЦВЕ-2016-4485).
У студији ширења скривене рањивости, тим Универзитета у Минесоти наводи пример рањивости ЦВЕ-2019-12819, изазвану закрпом која је прихваћена у језгро 2014. Решење је додало позив пут_девице блоку за руковање грешкама у мдио_бус, али пет година касније откривено је да ће таква манипулација резултирати бескорисним приступом меморијском блоку.
Истовремено, аутори студије тврде да су у свом раду сумирали податке о 138 закрпа које уносе грешке, али нису повезане са учесницима студије.
Покушаји да пошаљете сопствене закрпе грешака били су ограничени на преписку путем поште и такве промене нису дошле до фазе Гит урезивања на било којој грани језгра (ако је након што је е-поштом послао закрпу, одржавач открио да је закрпа нормална, онда је од вас затражено да не укључујете промену јер постоји грешка, након чега исправљате закрпа је отпремљена).
Такође, судећи по активности аутора критикованог поправка, већ дуже време крпа разне подсистеме језгра. На пример, радеон и ноувеау управљачки програми недавно су усвојили промене у грешкама блока пм_рунтиме_пут_аутосуспенд (дев-> дев), то може довести до употребе бафера након ослобађања придружене меморије.
Такође се помиње да Грег је вратио 190 повезаних обавеза и започео нови преглед. Проблем је у томе што сарадници @ умн.еду не само да су експериментисали са промовисањем сумњивих закрпа, већ су и поправили стварне рањивости, а враћање промена уназад могло би да доведе до повратка претходно исправљених безбедносних проблема. Неки одржавачи су већ проверили неправљене промене и нису пронашли проблеме, али било је и закрпа грешака.
Одељење за рачунарске науке на Универзитету у Минесоти издао саопштење најављујући обуставу истраге у овој области, покретање валидације коришћених метода и спровођење истраге о томе како је истрага одобрена. Извештај о резултатима ће се делити са заједницом.
Коначно, Грег напомиње да је посматрао одговоре заједнице и да је такође узео у обзир процес испитивања начина за превару поступка прегледа. По Греговом мишљењу, извођење таквих експеримената ради увођења штетних промена је неприхватљиво и неетично.
izvor: https://lkml.org