Greg Kroah-Hartman, kes vastutab Linuxi tuuma stabiilse haru hooldamise eest, otsustas keelata Minnesota ülikoolist Linuxi tuumasse tulevate muudatuste vastuvõtmise ning ka kõik varem aktsepteeritud paigad tagasi võtta ja need uuesti üle vaadata. Blokeerimise põhjuseks oli uurimisrühma tegevus, kes uuris võimalust edendada varjatud haavatavusi avatud lähtekoodiga projektide koodi. See rühm esitas erinevat tüüpi vigu sisaldavaid plaastreid, jälgis kogukonna reaktsiooni ja uuris võimalusi, kuidas muudatuste ülevaatamise protsessi petta. Gregi sõnul on selliste katsete läbiviimine pahatahtlike muudatuste sisseviimiseks vastuvõetamatu ja ebaeetiline.
Blokeerimise põhjuseks oli see, et selle grupi liikmed saatsid paiga, mis lisas osutikontrolli, et välistada võimalik “tasuta” funktsiooni topeltkutse. Arvestades kursori kasutamise konteksti, oli kontroll mõttetu. Plaastri esitamise eesmärk oli näha, kas vigane muudatus läbib kerneli arendajate poolt ülevaatuse. Lisaks sellele paigale on ilmnenud ka teised Minnesota ülikooli arendajate katsed teha tuumas kahtlaseid muudatusi, sealhulgas neid, mis on seotud peidetud haavatavuste lisamisega.
Plaastrid saatnud osaleja püüdis end õigustada sellega, et katsetas uut staatilist analüsaatorit ja muudatus koostati selles testimise tulemuste põhjal. Kuid Greg juhtis tähelepanu asjaolule, et pakutud parandused ei ole tüüpilised staatiliste analüsaatorite tuvastatud vigadele ja kõik saadetud plaastrid ei paranda üldse midagi. Arvestades, et kõnealune uurimisrühm on varem proovinud varjatud haavatavuste jaoks plaastreid suruda, on selge, et nad on jätkanud katseid tuuma arenduskogukonnaga.
Huvitaval kombel tegeles eksperimente läbi viinud grupi juht varem turvaaukude seadusliku lappimisega, näiteks tuvastas infolekkeid USB-pinus (CVE-2016-4482) ja võrgu alamsüsteemis (CVE-2016-4485) . Varjatud haavatavuse levitamist käsitlevas uuringus toob Minnesota ülikooli meeskond näite CVE-2019-12819, haavatavuse, mille põhjustas 2014. aastal välja antud kerneli plaaster. Parandus lisas mdio_busi veakäsitlusplokile kutse put_device, kuid viis aastat hiljem selgus, et selline manipuleerimine viib mäluplokile juurdepääsu pärast selle vabastamist (“use-after-free”).
Samas väidavad uuringu autorid, et oma töös võtsid nad kokku andmed 138 plaastri kohta, mis tõid sisse vigu ja ei olnud uuringus osalejatega seotud. Vigadega oma plaastrite saatmise katsed piirdusid meilikirjavahetusega ja sellised muudatused Giti ei jõudnud (kui hooldaja pidas pärast paiga meili teel saatmist plaastrit normaalseks, siis paluti tal muudatust mitte lisada, kuna seal oli viga, mille järel nad saatsid õige plaastri).
Lisa 1: Kritiseeritava paiga autori tegevuse järgi otsustades on ta juba pikemat aega saatnud plaastreid erinevatele kerneli alamsüsteemidele. Näiteks radeoni ja nouveau draiverid võtsid hiljuti vastu muudatused, kutsudes veaplokis välja pm_runtime_put_autosuspend(dev->dev), mis võib põhjustada puhvri kasutamise pärast sellega seotud mälu vabastamist.
Lisa 2: Greg on tühistanud 190 failiga „@umn.edu” seotud kohustust ja algatanud nende uuesti läbivaatamise. Probleem on selles, et "@umn.edu" aadressiga liikmed pole mitte ainult katsetanud küsitavate paikade lükkamist, vaid parandanud ka tegelikke haavatavusi ning muudatuste tagasipööramine võib põhjustada varem parandatud turvaprobleemide naasmist. Mõned hooldajad on juba tagasivõetud muudatusi uuesti kontrollinud ja probleeme ei leidnud, kuid üks hooldajatest märkis, et ühes talle saadetud plaastris on vigu.
Allikas: opennet.ru