Група даследчыкаў з Універсітэта Мінесоты, прыём змяненняў ад якой на днях быў заблакаваны Грэгам Кроа-Хартманам, апублікавала адкрыты ліст з выбачэннямі і тлумачэннем матываў сваёй дзейнасці. Нагадаем, што група займалася даследаваннем слабых месцаў рэцэнзавання паступаючых патчаў і ацэнкай магчымасці прасоўвання ў ядро змен са ўтоенымі ўразлівасцямі. Пасля паступлення ад аднаго з удзельнікаў групы сумнеўнага патча з бессэнсоўным выпраўленнем было зроблена меркаванне, што даследчыкі зноў спрабуюць праводзіць эксперыменты над распрацоўшчыкамі ядра. Бо падобныя эксперыменты патэнцыйна ўяўляюць пагрозу бяспецы і адымаюць час у комітараў было вырашана заблакаваць прыём змен і адправіць усе раней прынятыя патчы на паўторнае рэцэнзаванне.
У сваім адкрытым лісце ўдзельнікі групы заявілі, што іх дзейнасць была матываваная выключна добрымі намерамі і жаданнем палепшыць працэс рэцэнзавання зменаў, шляхам выяўлення і ўстаранення слабых месцаў. Група ўжо шмат гадоў вывучае працэсы, якія прыводзяць да з'яўлення ўразлівасцяў, і актыўна працуе па выяўленні і ўхіленню ўразлівасцяў у ядры Linux. Сцвярджаецца, што ўсе з адпраўленых на паўторнае рэцэнзаванне 190 патчаў з'яўляюцца легітымнымі, выпраўляюць наяўныя праблемы і не ўтрымоўваюць наўмысных памылак або ўтоеных уразлівасцяў.
Якое выклікала асцярогу даследаванне па пасоўванні ўтоеных уразлівасцяў было праведзена ў жніўні мінулага гады і абмежавалася адпраўкай трох патчаў з памылкамі, ніводны з якіх не патрапіў у кодавую базу ядра. Звязаная з дадзенымі патчамі актыўнасць абмежавалася толькі абмеркаваннем і пасоўванне патчаў было спынена на стадыі да дадання змен у Git. Код трох праблемных патчаў пакуль не прыводзіцца, так як гэта раскрые асобы тых, хто праводзіў пачатковае рэцэнзаванне (інфармацыя будзе раскрыта пасля атрымання згоды ад распрацоўшчыкаў, якія не распазналі памылкі).
Асноўнай крыніцай даследавання былі не ўласныя патчы, а аналіз калі-небудзь дададзеных у ядро чужых патчаў, з-за якіх у наступным усплывалі ўразлівасці. Да дадання дадзеных патчаў каманда Універсітэта Мінесоты не мае ніякага дачынення. Усяго было вывучана 138 праблемных патчаў, якія прыводзілі да з'яўлення памылак, і да моманту публікацыі вынікаў даследавання ўсе злучаныя з імі памылкі былі выпраўленыя, у тым ліку пры ўдзеле каманды, якая праводзіла даследаванне.
Даследнікі шкадуюць, што яны скарысталіся недарэчным метадам правядзення эксперымента. Памылкай было тое, што даследаванне было праведзена без атрымання дазволу і без апавяшчэння супольнасці. Матывам утоенай дзейнасці было жаданне дамагчыся чысціні эксперыменту, бо апавяшчэнне магло прыцягнуць асобную ўвагу да патчаў і іх адзнацы не на агульных падставах. Нягледзячы не тое, што мэтай было паляпшэнне бяспекі ядра, зараз даследнікі ўсвядомілі, што выкарыстанне супольнасці ў якасці паддоследнага труса было некарэктным і неэтычным. Пры гэтым даследнікі запэўніваюць, што ніколі наўмысна не нашкодзілі б супольнасці і не дапусцілі б занясенню новых уразлівасцяў у працоўны код ядра.
Што да бессэнсоўнага патча, які паслужыў каталізатарам блакавання, то ён не мае адносіны да мінулага даследавання і звязаны з новым праектам, нацэленым на стварэнне інструментара для аўтаматызаванага выяўлення памылак, якія з'яўляюцца ў выніку дадання іншых патчаў.
Цяпер удзельнікі групы спрабуюць знайсці шляхі звароту да ўдзелу ў распрацоўцы і маюць намер наладзіць свае адносіны з Linux Foundation і супольнасцю распрацоўнікаў, даказаўшы сваю карыснасць у справе падвышэння бяспекі ядра і выказаўшы жаданне ўзмоцнена працаваць для агульнай карысці і вяртанні даверу.
Крыніца: opennet.ru