De Greg Kroah-Hartman, verantwortlech fir d'Erhale vun der stabiler Branche vum Linux Kernel, huet decidéiert d'Akzeptanz vun all Ännerunge vun der University of Minnesota an de Linux Kernel ze verbidden, an och all virdrun akzeptéiert Patches zréckzekréien an se nei ze iwwerpréiwen. De Grond fir d'Blockéierung war d'Aktivitéite vun enger Fuerschungsgrupp déi d'Méiglechkeet studéiert fir verstoppte Schwachstelle an de Code vun Open-Source Projeten ze förderen. Dëse Grupp huet Patches ofginn, déi verschidden Aarte vu Bugs enthalen, d'Reaktioun vun der Gemeinschaft observéiert hunn, a Weeër studéiert fir den Iwwerpréiwungsprozess fir Ännerungen ze fuddelen. Nom Greg, esou Experimenter ze maachen fir béiswëlleg Ännerungen anzeféieren ass inakzeptabel an onethesch.
De Grond fir d'Blockéierung war datt d'Membere vun dëser Grupp e Patch geschéckt hunn, deen e Pointercheck bäigefüügt huet fir de méiglechen Duebelruff vun der "gratis" Funktioun ze eliminéieren. Wéinst dem Kontext vun der Notzung vum Pointer war de Scheck sënnlos. Den Zweck fir de Patch ofzeginn war ze kucken ob déi falsch Ännerung d'Iwwerpréiwung vun de Kernel Entwéckler passéiert. Zousätzlech zu dësem Patch sinn aner Versuche vun Entwéckler vun der University of Minnesota opgedaucht fir zweifelhaft Ännerunge vum Kärel ze maachen, och déi am Zesummenhang mat der Zousatz vu verstoppte Schwachstelle.
De Participant, deen d'Patches geschéckt huet, huet probéiert sech selwer ze justifiéieren andeems hie gesot huet datt hien en neie statesche Analysator testt an d'Ännerung war virbereet op Basis vun de Resultater vum Test an deem. Awer de Greg huet op d'Tatsaach opmierksam gemaach datt d'proposéiert Fixer net typesch sinn fir Feeler, déi duerch statesch Analysatoren festgestallt ginn, an all déi geschéckt Patches fixéieren guer näischt. Gitt datt d'Fuerschungsgrupp a Fro probéiert huet Patches fir verstoppte Schwachstelle an der Vergaangenheet ze drécken, ass et kloer datt se hir Experimenter mat der Kernel Entwécklungsgemeinschaft weidergefouert hunn.
Interessanterweis war an der Vergaangenheet de Leader vun der Grupp, déi d'Experimenter duerchgefouert huet, un der legitimer Patching vu Schwachstelle involvéiert, zum Beispill d'Identifikatioun vun Informatiounslecks am USB-Stack (CVE-2016-4482) an dem Netzwierk-Subsystem (CVE-2016-4485) . An enger Etude iwwer Stealth Schwachstelle Promotioun zitéiert en Team vun der University of Minnesota d'Beispill vum CVE-2019-12819, verursaacht duerch e Kernel Patch deen am Joer 2014 verëffentlecht gouf. De Fix huet en Uruff fir put_device an de Feelerhandlungsblock am mdio_bus bäigefüügt, awer fënnef Joer méi spéit ass et erauskomm datt sou Manipulatioun den Zougang zum Memory Block féiert nodeems se befreit ass ("benotzen-after-gratis").
Zur selwechter Zäit behaapten d'Autoren vun der Studie, datt se an hirer Aarbecht Daten iwwer 138 Patches zesummegefaasst hunn, déi Feeler agefouert hunn an net mat de Studie Participanten verbonne sinn. Versuche fir hir eege Patches mat Feeler ze schécken waren limitéiert op E-Mail Korrespondenz, an esou Ännerunge sinn net an Git komm (wann, nodeems de Patch per E-Mail geschéckt gouf, den Ënnerhalter de Patch als normal ugesinn huet, da gouf hie gefrot d'Ännerung net matzemaachen well do war e Feeler, duerno hunn se de richtege Patch geschéckt).
Ergänzung 1: No der Aktivitéit vum Auteur vum kritiséierte Patch beurteelen, huet hien fir eng laang Zäit Patches op verschidde Kernel-Subsystemer geschéckt. Zum Beispill hunn d'radeon- an nouveau-Treiber kierzlech Ännerungen ugeholl mat engem Opruff un pm_runtime_put_autosuspend(dev->dev) an engem Feelerblock, méiglecherweis verursaacht datt de Puffer benotzt gëtt nodeems d'Erënnerung befreit ass, déi domat verbonnen ass.
Addendum 2: De Greg huet 190 Verpflichtungen, déi mat "@umn.edu" verbonne sinn, zréckgezunn an eng nei Iwwerpréiwung vun hinnen initiéiert. De Problem ass datt d'Membere mat "@umn.edu" Adressen net nëmmen experimentéiert hunn mat zweifelhafte Patches ze drécken, awer och richteg Schwachstelle gepatched hunn, an d'Réckrollen vun Ännerunge kéinten dozou féieren datt virdrun patchéiert Sécherheetsprobleemer zréckkommen. E puer Ënnerhalter hunn déi zréckgesat Ännerungen schonn iwwerpréift a keng Probleemer fonnt, awer ee vun den Ënnerhalter huet uginn datt ee vun de Patches, déi him geschéckt goufen, Feeler hat.
Source: opennet.ru