Greg Kroah-Hartman, tanggung jawab kanggo njaga cabang stabil saka kernel Linux, mutusaké kanggo nglarang ditampa saka owah-owahan saka Universitas Minnesota menyang kernel Linux, lan uga kanggo muter maneh kabeh patch sing ditampa sadurunge lan maneh maneh. Alesan kanggo pamblokiran kasebut yaiku kegiatan klompok riset sing nyinaoni kemungkinan promosi kerentanan sing didhelikake menyang kode proyek sumber terbuka. Klompok iki ngirim patch sing ngemot macem-macem jinis kewan omo, mirsani reaksi masyarakat, lan sinau cara kanggo ngapusi proses review kanggo owah-owahan. Miturut Greg, nindakake eksperimen kasebut kanggo ngenalake owah-owahan ala ora bisa ditampa lan ora etis.
Alesan kanggo pamblokiran ana sing anggota saka grup iki dikirim tembelan sing ditambahake mriksa pitunjuk kanggo ngilangke bisa pindho telpon fungsi "free". Diwenehi konteks nggunakake pointer, mriksa ora ana gunane. Tujuan ngirim tembelan yaiku kanggo ndeleng manawa owah-owahan sing salah bakal ditinjau dening pangembang kernel. Saliyane tembelan iki, upaya liyane dening pangembang saka Universitas Minnesota wis muncul kanggo nggawe owah-owahan ing kernel, kalebu sing ana gandhengane karo tambahan kerentanan sing didhelikake.
Peserta sing ngirim tambalan nyoba mbenerake awake dhewe kanthi ujar manawa dheweke lagi nyoba analisa statis anyar lan pangowahan kasebut disiapake adhedhasar asil tes kasebut. Nanging Greg narik kawigatosan manawa koreksi sing diusulake ora khas kanggo kesalahan sing dideteksi dening analisa statis, lan kabeh patch sing dikirim ora ndandani apa-apa. Amarga klompok riset kasebut wis nyoba nyurung patch kanggo kerentanan sing didhelikake ing jaman kepungkur, jelas yen dheweke wis nerusake eksperimen karo komunitas pangembangan kernel.
Sing nggumunake, ing jaman kepungkur, pimpinan klompok sing nindakake eksperimen kasebut melu patching kerentanan sing sah, umpamane, ngenali bocor informasi ing tumpukan USB (CVE-2016-4482) lan subsistem jaringan (CVE-2016-4485) . Ing panaliten babagan panyebaran kerentanan siluman, tim saka Universitas Minnesota nyebutake conto CVE-2019-12819, kerentanan sing disebabake patch kernel sing dirilis ing 2014. Ndandani nambahake telpon menyang put_device menyang pamblokiran penanganan kesalahan ing mdio_bus, nanging limang taun sabanjure muncul yen manipulasi kasebut ndadékaké akses menyang blok memori sawise dibebasake ("nggunakake sawise-free").
Ing wektu sing padha, penulis sinau ngaku yen ing karyane padha ngringkes data ing 138 patch sing ngenalake kesalahan lan ora ana hubungane karo peserta sinau. Nyoba ngirim tembelan dhewe kanthi kesalahan diwatesi ing korespondensi email, lan owah-owahan kasebut ora mlebu ing Git (yen, sawise ngirim tembelan kanthi email, pangurus nganggep tembelan kasebut normal, mula dheweke dijaluk supaya ora kalebu owah-owahan wiwit ana. ana kesalahan, banjur ngirim patch sing bener).
Tambahan 1: Ditilik saka aktivitas penulis patch sing dikritik, dheweke wis ngirim patch menyang macem-macem subsistem kernel kanggo wektu sing suwe. Contone, pembalap radeon lan nouveau bubar diadopsi owah-owahan karo telpon kanggo pm_runtime_put_autosuspend(dev->dev) ing pemblokiran kesalahan, bisa nyebabake buffer digunakake sawise mbebasake memori gadhah.
Addendum 2: Greg wis mbalek maneh 190 commits sing digandhengake karo "@umn.edu" lan miwiti review maneh. Masalahe yaiku anggota kanthi alamat "@umn.edu" ora mung nyoba nyurung patch sing bisa dipertanyakan, nanging uga ngrampungake kerentanan sing nyata, lan owah-owahan mundur bisa nyebabake masalah keamanan sing wis ditambal maneh. Sawetara pangopènan wis mriksa maneh owah-owahan sing dibalèkaké lan ora nemu masalah, nanging salah siji saka pangopènan nuduhake manawa salah sawijining patch sing dikirim menyang dheweke ana kesalahan.
Source: opennet.ru