Greg Kroah-Hartman, mantenitore di a branca stabile di u kernel Linux, hà decisu di pruibisce l'ammissione à u core Linux Ogni cambiamentu chì vene da l'Università di Minnesota, è ancu annullà tutti i patch accettati prima è rivederli. U bloccu hè statu causatu da l'attività di un gruppu di ricerca chì studia a pussibilità d'introduce vulnerabilità nascoste in u codice di i prughjetti open-source. Stu gruppu hà presentatu patch chì cuntenenu vari errori, hà monitoratu a reazione di a cumunità è hà esploratu modi per aggirà u prucessu di revisione. Sicondu Greg, fà tali esperimenti per introduce cambiamenti maliziosi hè inaccettabile è immorale.
U mutivu di u bluccatu era chì i membri di stu gruppu anu mandatu un patch chì aghjunghjenu un puntu di verificazione per eliminà a pussibuli doppia chjama di a funzione "libera". Data u cuntestu di l'usu di u puntatore, u cuntrollu era inutile. U scopu di sottumette u patch era di vede s'ellu u cambiamentu sbagliatu passava a revisione da i sviluppatori di u kernel. In più di stu patch, altri tentativi di sviluppatori da l'Università di Minnesota anu apparsu per fà cambiamenti dubbiosi à u kernel, cumpresi quelli chì sò ligati à l'aghjunzione di vulnerabili nascosti.
U participante chì hà mandatu i patches hà pruvatu à ghjustificà si dicendu chì era pruvatu un novu analizatore staticu è u cambiamentu hè statu preparatu basatu annantu à i risultati di a prova in questu. Ma Greg attirò l'attenzione à u fattu chì e correzioni pruposte ùn sò micca tipiche per l'errori rilevati da l'analizzatori statici, è tutti i patch mandati ùn risolvenu nunda. Dapoi chì u gruppu di ricerca in quistione hà pruvatu à spinghje patches per vulnerabili oculate in u passatu, hè chjaru chì anu cuntinuatu i so esperimenti cù a cumunità di sviluppu di u kernel.
Curiosamente, in u passatu, u capu di u gruppu chì conduce l'esperimenti era implicatu in patching legittimi di vulnerabilità, per esempiu, identificà e fughe d'infurmazioni in a pila USB (CVE-2016-4482) è u subsistema di rete (CVE-2016-4485). . In un studiu nantu à a propagazione di a vulnerabilità furtiva, una squadra di l'Università di Minnesota cita l'esempiu di CVE-2019-12819, una vulnerabilità causata da un patch di kernel liberatu in 2014. A correzione hà aghjustatu una chjama à put_device à u bloccu di gestione di l'errore in mdio_bus, ma cinque anni dopu hè ghjuntu chì una tale manipulazione porta à l'accessu à u bloccu di memoria dopu chì hè liberatu ("use-after-free").
À u listessu tempu, l'autori di u studiu dichjaranu chì in u so travagliu anu riassuntu dati nantu à 138 patches chì anu introduttu errori è ùn eranu micca ligati à i participanti di u studiu. I tentativi di mandà i so patch cù l'errori sò limitati à a currispundenza per email, è tali cambiamenti ùn anu micca entratu in Git (se, dopu avè mandatu u patch per e-mail, u mantenitore hà cunsideratu u patch normale, allora hè statu dumandatu à ùn include micca u cambiamentu postu chì ci hè. era un errore, dopu avè mandatu u patch currettu).
Addition 1: A ghjudicà da l'attività di l'autore di u patch criticatu, hà mandatu patch à diversi sottosistemi di kernel per un bellu pezzu. Per esempiu, i piloti radeon è nouveau adoptanu recentemente cambiamenti cù una chjama à pm_runtime_put_autosuspend(dev->dev) in un bloccu d'errore, possibbilmente pruvucannu u buffer per esse usatu dopu a liberazione di a memoria assuciata cun ellu.
Addendum 2: Greg hà annullatu 190 commits assuciati cù "@umn.edu" è hà iniziatu una rivisione di elli. U prublema hè chì i membri cù l'indirizzi "@umn.edu" ùn anu micca solu sperimentatu cù l'imputazione di patch dubbii, ma ancu patchatu vulnerabili veri, è i cambiamenti di retrocede puderianu risultà in prublemi di sicurezza precedentemente patchati. Certi mantenitori anu digià verificatu i cambiamenti ritruvati è ùn anu micca truvatu prublemi, ma unu di i mantenitori hà indicatu chì unu di i patch mandati à ellu avia errore.
Source: opennet.ru
