Greg Kroah-Hartman-ek, Linux nukleoaren adar egonkorra mantentzeko arduradunak, Minnesotako Unibertsitatetik datozen aldaketak Linux nukleoan onartzea debekatzea erabaki zuen, eta, gainera, aurretik onartutako adabaki guztiak atzera botatzea eta berriro berrikustea. Blokeoaren arrazoia kode irekiko proiektuen kodean ezkutuko ahuleziak sustatzeko aukera aztertzen ari den ikerketa talde baten jarduerak izan dira. Talde honek hainbat akats mota zituzten adabakiak bidali zituen, komunitatearen erreakzioa ikusi zuen eta aldaketak berrikusteko prozesua iruzurra egiteko moduak aztertu zituen. Greg-en arabera, aldaketa gaiztoak sartzeko horrelako esperimentuak egitea onartezina eta etikoa da.
Blokeoaren arrazoia talde honetako kideek erakusleen egiaztapena gehitzen zuen adabaki bat bidali zutela izan zen, "doako" funtzioaren balizko dei bikoitza ezabatzeko. Erakuslearen erabileraren testuingurua ikusita, egiaztapena alferrikakoa izan zen. Adabakia bidaltzearen helburua zen aldaketa okerrak nukleoko garatzaileek berrikuspena gaindituko zuten ala ez ikustea. Adabaki honetaz gain, Minnesotako Unibertsitateko garatzaileen beste saiakera batzuk agertu dira nukleoan aldaketa zalantzagarriak egiteko, ezkutuko ahuleziak gehitzearekin lotutakoak barne.
Adabakiak bidali zituen parte-hartzaileak bere burua justifikatzen saiatu zen analizatzaile estatiko berri bat probatzen ari zela esanez eta aldaketa bertan egindako proben emaitzen arabera prestatu zen. Baina Gregek arreta jarri zuen proposatutako konponketak ez direla ohikoak analizatzaile estatikoek detektatzen dituzten akatsetarako, eta bidalitako adabaki guztiek ez dutela ezer konpontzen. Aipatutako ikerketa taldeak iraganean ezkutuko ahultasunen adabakiak bultzatzen saiatu direla kontuan hartuta, argi dago nukleoaren garapen komunitatearekin esperimentuekin jarraitu dutela.
Interesgarria da, iraganean, esperimentuak egiten zituen taldeko liderrak ahultasunen adabaki legitimoan parte hartu zuen, adibidez, USB pilan (CVE-2016-4482) eta sareko azpisisteman (CVE-2016-4485) informazio-filtrazioak identifikatzen. . Stealth ahultasunaren hedapenari buruzko ikerketa batean, Minnesotako Unibertsitateko talde batek CVE-2019-12819 adibidea aipatzen du, 2014an kaleratutako nukleo-adabaki batek eragindako ahultasuna. Konponketak put_device-ra dei bat gehitu zuen mdio_bus-eko erroreak kudeatzeko blokean, baina bost urte geroago, manipulazio horrek askatu ondoren memoria blokera atzitzen duela agerian geratu zen ("use-after-free").
Aldi berean, ikerketaren egileek diote beren lanean akatsak sartu zituzten eta ikerketako parte-hartzaileekin zerikusirik ez zuten 138 adabakiren datuak laburbildu dituztela. Erroreekin beren adabakiak bidaltzeko saiakerak posta elektronikoko korrespondentziara mugatu ziren, eta aldaketa horiek ez ziren Git-en sartu (adabakia posta elektronikoz bidali ondoren, mantentzaileak adabakia normaltzat jotzen bazuen, orduan aldaketa ez sartzeko eskatu zitzaion. errore bat izan zen, eta ondoren adabaki zuzena bidali zuten).
1. gehigarria: kritikatutako adabakiaren egilearen jarduera ikusita, aspalditik darama adabakiak bidaltzen nukleoko hainbat azpisistematara. Esate baterako, radeon eta nouveau kontrolatzaileek aldaketak onartu zituzten berriki pm_runtime_put_autosuspend(dev->dev) akats-bloke batean dei batekin, eta, baliteke, buffera harekin lotutako memoria askatu ondoren erabiltzea eraginez.
2. gehigarria: Gregek "@umn.edu"-ri lotutako 190 konpromiso atzera bota ditu eta horien berrikuspena hasi du. Arazoa da "@umn.edu" helbideak dituzten kideek zalantzazko adabakiak bultzatzen ez ezik, benetako ahuleziak adabaki ere egin dituztela, eta aldaketak atzera egiteak aurrez adabakitako segurtasun-arazoak itzultzea eragin dezake. Mantentzaile batzuek jada itzulitako aldaketak berriro egiaztatu dituzte eta ez dute arazorik aurkitu, baina mantentzaileetako batek adierazi zion bidalitako adabakietako batek akatsak zituela.
Iturria: opennet.ru