Si Greg Kroah-Hartman, responsable sa pagmintinar sa lig-on nga sanga sa Linux kernel, nakahukom sa pagdili sa pagdawat sa bisan unsa nga kausaban gikan sa University of Minnesota ngadto sa Linux kernel, ug usab sa pag-roll balik sa tanan nga kaniadto gidawat nga mga patch ug re-review kini. Ang hinungdan sa pag-ali mao ang mga kalihokan sa usa ka grupo sa panukiduki nga nagtuon sa posibilidad sa pagpasiugda sa mga tinago nga kahuyangan sa code sa mga open-source nga proyekto. Kini nga grupo misumiter og mga patch nga adunay lain-laing matang sa mga bug, nag-obserbar sa reaksyon sa komunidad, ug nagtuon og mga paagi sa paglimbong sa proseso sa pagrepaso alang sa mga kausaban. Sumala ni Greg, ang pagpahigayon sa ingon nga mga eksperimento aron ipaila ang makadaot nga mga pagbag-o dili madawat ug dili pamatasan.
Ang hinungdan sa pag-block mao nga ang mga miyembro niini nga grupo nagpadala usa ka patch nga nagdugang usa ka tseke sa pointer aron mawagtang ang posible nga doble nga tawag sa "libre" nga function. Tungod sa konteksto sa paggamit sa pointer, ang tseke walay kapuslanan. Ang katuyoan sa pagsumite sa patch mao ang pagtan-aw kung ang sayup nga pagbag-o ipasa sa pagsusi sa mga developer sa kernel. Gawas pa niini nga patch, ang ubang mga pagsulay sa mga developers gikan sa University of Minnesota mitumaw aron sa paghimo sa kadudahan nga mga pagbag-o sa kernel, lakip ang mga may kalabutan sa pagdugang sa mga natago nga mga kahuyangan.
Ang partisipante nga nagpadala sa mga patch misulay sa pagpakamatarong sa iyang kaugalingon pinaagi sa pag-ingon nga siya nagsulay sa usa ka bag-ong static analyzer ug ang pagbag-o giandam base sa mga resulta sa pagsulay niini. Apan gipunting ni Greg ang pagtagad sa kamatuoran nga ang gisugyot nga mga pag-ayo dili kasagaran alang sa mga sayup nga nakit-an sa mga static nga analista, ug ang tanan nga gipadala nga mga patch wala gyud mag-ayo. Gihatag nga ang grupo sa panukiduki nga gipangutana misulay sa pagduso sa mga patch alang sa mga tinago nga mga kahuyangan sa nangagi, klaro nga nagpadayon sila sa ilang mga eksperimento sa komunidad sa pagpauswag sa kernel.
Makapainteres, kaniadto, ang lider sa grupo nga nagpahigayon sa mga eksperimento nalangkit sa lehitimong pag-patching sa mga kahuyangan, pananglitan, pag-ila sa mga pagtulo sa impormasyon sa USB stack (CVE-2016-4482) ug sa network subsystem (CVE-2016-4485) . Sa usa ka pagtuon sa stealth vulnerability propagation, usa ka team gikan sa University of Minnesota naghisgot sa panig-ingnan sa CVE-2019-12819, usa ka kahuyang tungod sa usa ka kernel patch nga gipagawas sa 2014. Ang pag-ayo nagdugang usa ka tawag sa pagbutang_device sa error sa pagdumala sa bloke sa mdio_bus, apan lima ka tuig ang milabay migawas nga ang ingon nga pagmaniobra nagpadulong sa pag-access sa block sa panumduman pagkahuman kini gipagawas ("paggamit-pagkahuman-libre").
Sa samang higayon, ang mga tigsulat sa pagtuon nag-angkon nga sa ilang trabaho ilang gi-summarize ang datos sa 138 patches nga nagpaila sa mga sayop ug wala'y kalabutan sa mga partisipante sa pagtuon. Ang mga pagsulay sa pagpadala sa ilang kaugalingon nga mga patch nga adunay mga sayup limitado sa mga sulat sa email, ug ang ingon nga mga pagbag-o wala makuha sa Git (kung, pagkahuman ipadala ang patch pinaagi sa email, gikonsiderar sa tigmentinar nga normal ang patch, unya gihangyo siya nga dili iapil ang pagbag-o sukad didto. usa ka sayup, pagkahuman gipadala nila ang husto nga patch).
Dugang 1: Gihukman sa kalihokan sa tagsulat sa gisaway nga patch, nagpadala siya og mga patch sa lainlaing mga subsystem sa kernel sa dugay nga panahon. Pananglitan, ang mga drayber sa radeon ug nouveau bag-o lang nagsagop sa mga pagbag-o nga adunay usa ka tawag sa pm_runtime_put_autosuspend(dev->dev) sa usa ka bloke sa sayup, nga mahimo’g hinungdan nga magamit ang buffer pagkahuman mapahigawas ang panumduman nga kauban niini.
Addendum 2: Gi-rollback ni Greg ang 190 ka mga commit nga nalangkit sa "@umn.edu" ug gisugdan ang re-review niini. Ang problema mao nga ang mga miyembro nga adunay "@umn.edu" nga mga adres wala lamang nag-eksperimento sa pagduso sa mga kwestyonable nga mga patch, apan gitakpan usab ang tinuod nga mga kahuyangan, ug ang pagbalik sa mga pagbag-o mahimo’g moresulta sa nabalik nga mga isyu sa seguridad nga natambalan kaniadto. Gisusi na usab sa pipila ka mga tigmentinar ang gibalik nga mga pagbag-o ug wala’y nakit-an nga mga problema, apan usa sa mga nagmintinar nagpakita nga usa sa mga patch nga gipadala kaniya adunay mga sayup.
Source: opennet.ru