Greg Kroah-Hartman, sem er ábyrgur fyrir því að viðhalda stöðugri grein Linux kjarnans, ákvað að banna samþykki allra breytinga sem koma frá University of Minnesota inn á Linux kjarnann, og einnig að afturkalla alla áður samþykkta plástra og endurskoða þá. Ástæðan fyrir lokuninni var starfsemi rannsóknarhóps sem rannsakaði möguleikann á að ýta undir dulda veikleika í kóðanum fyrir opinn uppspretta verkefna. Þessi hópur sendi inn plástra sem innihéldu ýmsar gerðir af villum, fylgdist með viðbrögðum samfélagsins og rannsakaði leiðir til að svindla á endurskoðunarferlinu fyrir breytingum. Að sögn Greg er það óásættanlegt og siðlaust að gera slíkar tilraunir til að innleiða illgjarnar breytingar.
Ástæðan fyrir lokuninni var sú að meðlimir þessa hóps sendu plástur sem bætti við ávísun á bendilinn til að útrýma mögulegu tvöföldu kalli „ókeypis“ aðgerðarinnar. Miðað við samhengið við notkun ábendingsins var ávísunin tilgangslaus. Tilgangurinn með því að senda inn plásturinn var að sjá hvort ranga breytingin myndi standast skoðun kjarnahönnuða. Auk þessa plásturs hafa aðrar tilraunir þróunaraðila frá háskólanum í Minnesota komið upp á yfirborðið til að gera vafasamar breytingar á kjarnanum, þar á meðal þær sem tengjast því að bæta við földum veikleikum.
Þátttakandinn sem sendi plástrana reyndi að rökstyðja sig með því að hann væri að prófa nýjan stöðugreiningartæki og breytingin var undirbúin út frá niðurstöðum prófana í honum. En Greg vakti athygli á því að fyrirhugaðar lagfæringar eru ekki dæmigerðar fyrir villur sem finnast af kyrrstöðugreiningartækjum og allir sendir plástra laga alls ekki neitt. Í ljósi þess að umræddur rannsóknarhópur hefur reynt að ýta undir plástra fyrir dulda veikleika í fortíðinni, er ljóst að þeir hafa haldið áfram tilraunum sínum með kjarnaþróunarsamfélagið.
Athyglisvert er að í fortíðinni tók leiðtogi hópsins sem framkvæmdi tilraunirnar þátt í lögmætum plástra á varnarleysi, til dæmis að bera kennsl á upplýsingaleka í USB stafla (CVE-2016-4482) og netkerfi undirkerfisins (CVE-2016-4485) . Í rannsókn á útbreiðslu laumuspils varnarleysis nefnir teymi frá háskólanum í Minnesota dæmi um CVE-2019-12819, varnarleysi af völdum kjarnaplásturs sem gefinn var út árið 2014. Lagfæringin bætti kalli á put_device við villumeðferðarblokkina í mdio_bus, en fimm árum síðar kom í ljós að slík meðferð leiðir til aðgangs að minnisblokkinni eftir að hann er losaður ("use-after-free").
Jafnframt fullyrða höfundar rannsóknarinnar að í vinnu sinni hafi þeir tekið saman gögn um 138 plástra sem kynntu villur og tengdust ekki þátttakendum rannsóknarinnar. Tilraunir til að senda eigin plástra með villum voru takmarkaðar við tölvupóstsamskipti og slíkar breytingar komust ekki inn í Git (ef, eftir að hafa sent plásturinn með tölvupósti, taldi viðhaldsaðilinn plásturinn eðlilegan, þá var hann beðinn um að taka ekki breytinguna með þar sem það var var villa, eftir það sendu þeir réttan plástur).
Viðbót 1: Miðað við virkni höfundar gagnrýnda plástrsins hefur hann verið að senda plástra í ýmis kjarnaundirkerfi í langan tíma. Til dæmis tóku radeon og nouveau reklarnir nýlega upp breytingar með kalli á pm_runtime_put_autosuspend(dev->dev) í villublokk, sem gæti valdið því að biðminni er notað eftir að hafa losað minnið sem tengist því.
Viðbót 2: Greg hefur dregið til baka 190 skuldbindingar tengdar „@umn.edu“ og hafið endurskoðun á þeim. Vandamálið er að meðlimir með „@umn.edu“ heimilisföng hafa ekki aðeins gert tilraunir með að ýta á vafasama plástra, heldur einnig lagfært raunverulega veikleika, og afturköllun á breytingum gæti leitt til þess að öryggisvandamál sem áður hafa verið lagfærð skili sér aftur. Sumir umsjónarmenn hafa nú þegar endurskoðað breytingarnar sem hafa verið afturkallaðar og fundið engin vandamál, en einn umsjónaraðila gaf til kynna að einn af plástunum sem hann sendi honum væru villur.
Heimild: opennet.ru