ലിനക്സ് കേർണലിന്റെ സുസ്ഥിരമായ ബ്രാഞ്ച് പരിപാലിക്കുന്നതിനുള്ള ഉത്തരവാദിത്തമുള്ള ഗ്രെഗ് ക്രോഹ-ഹാർട്ട്മാൻ, മിനസോട്ട യൂണിവേഴ്സിറ്റിയിൽ നിന്ന് ലിനക്സ് കേർണലിലേക്ക് വരുന്ന മാറ്റങ്ങൾ സ്വീകരിക്കുന്നത് നിരോധിക്കാനും മുമ്പ് സ്വീകരിച്ച എല്ലാ പാച്ചുകളും പിൻവലിക്കാനും അവ വീണ്ടും അവലോകനം ചെയ്യാനും തീരുമാനിച്ചു. ഓപ്പൺ സോഴ്സ് പ്രോജക്റ്റുകളുടെ കോഡിലേക്ക് മറഞ്ഞിരിക്കുന്ന കേടുപാടുകൾ പ്രോത്സാഹിപ്പിക്കുന്നതിനുള്ള സാധ്യതയെക്കുറിച്ച് പഠിക്കുന്ന ഒരു ഗവേഷണ ഗ്രൂപ്പിന്റെ പ്രവർത്തനങ്ങളാണ് തടയാനുള്ള കാരണം. ഈ ഗ്രൂപ്പ് വിവിധ തരത്തിലുള്ള ബഗുകൾ അടങ്ങിയ പാച്ചുകൾ സമർപ്പിച്ചു, കമ്മ്യൂണിറ്റിയുടെ പ്രതികരണം നിരീക്ഷിച്ചു, മാറ്റങ്ങൾക്കായി അവലോകന പ്രക്രിയയെ വഞ്ചിക്കുന്നതിനുള്ള വഴികൾ പഠിച്ചു. ഗ്രെഗിന്റെ അഭിപ്രായത്തിൽ, ക്ഷുദ്രകരമായ മാറ്റങ്ങൾ അവതരിപ്പിക്കാൻ ഇത്തരം പരീക്ഷണങ്ങൾ നടത്തുന്നത് അസ്വീകാര്യവും അനീതിയുമാണ്.
ഈ ഗ്രൂപ്പിലെ അംഗങ്ങൾ "ഫ്രീ" ഫംഗ്ഷന്റെ സാധ്യമായ ഇരട്ട കോൾ ഇല്ലാതാക്കാൻ ഒരു പോയിന്റർ ചെക്ക് ചേർത്ത ഒരു പാച്ച് അയച്ചതാണ് തടയാനുള്ള കാരണം. പോയിന്ററിന്റെ ഉപയോഗത്തിന്റെ സന്ദർഭം കണക്കിലെടുക്കുമ്പോൾ, പരിശോധന അർത്ഥശൂന്യമായിരുന്നു. പാച്ച് സമർപ്പിക്കുന്നതിന്റെ ഉദ്ദേശ്യം തെറ്റായ മാറ്റം കേർണൽ ഡെവലപ്പർമാരുടെ അവലോകനത്തിന് വിധേയമാകുമോ എന്നറിയുക എന്നതായിരുന്നു. ഈ പാച്ചിന് പുറമേ, മറഞ്ഞിരിക്കുന്ന കേടുപാടുകൾ ചേർക്കുന്നതുമായി ബന്ധപ്പെട്ടവ ഉൾപ്പെടെ, കേർണലിൽ സംശയാസ്പദമായ മാറ്റങ്ങൾ വരുത്താൻ മിനസോട്ട സർവകലാശാലയിൽ നിന്നുള്ള ഡെവലപ്പർമാരുടെ മറ്റ് ശ്രമങ്ങൾ ഉയർന്നുവന്നിട്ടുണ്ട്.
പാച്ചുകൾ അയച്ച പങ്കാളി താൻ ഒരു പുതിയ സ്റ്റാറ്റിക് അനലൈസർ പരീക്ഷിക്കുകയാണെന്ന് പറഞ്ഞ് സ്വയം ന്യായീകരിക്കാൻ ശ്രമിച്ചു, അതിലെ പരിശോധനയുടെ ഫലത്തെ അടിസ്ഥാനമാക്കിയാണ് മാറ്റം തയ്യാറാക്കിയത്. എന്നാൽ സ്റ്റാറ്റിക് അനലൈസറുകൾ കണ്ടെത്തിയ പിശകുകൾക്ക് നിർദ്ദിഷ്ട പരിഹാരങ്ങൾ സാധാരണമല്ലെന്നും അയച്ച എല്ലാ പാച്ചുകളും ഒന്നും ശരിയാക്കുന്നില്ല എന്ന വസ്തുതയിലേക്ക് ഗ്രെഗ് ശ്രദ്ധ ആകർഷിച്ചു. സംശയാസ്പദമായ ഗവേഷണ സംഘം മുൻകാലങ്ങളിൽ മറഞ്ഞിരിക്കുന്ന കേടുപാടുകൾക്കായി പാച്ചുകൾ നീക്കാൻ ശ്രമിച്ചിട്ടുണ്ടെന്ന് കണക്കിലെടുക്കുമ്പോൾ, അവർ കേർണൽ ഡെവലപ്മെന്റ് കമ്മ്യൂണിറ്റിയുമായി അവരുടെ പരീക്ഷണങ്ങൾ തുടർന്നുവെന്ന് വ്യക്തമാണ്.
രസകരമെന്നു പറയട്ടെ, മുൻകാലങ്ങളിൽ, പരീക്ഷണങ്ങൾ നടത്തുന്ന ഗ്രൂപ്പിന്റെ നേതാവ് കേടുപാടുകൾ നിയമാനുസൃതമായി ഒത്തുകളിക്കുന്നതിൽ ഏർപ്പെട്ടിരുന്നു, ഉദാഹരണത്തിന്, USB സ്റ്റാക്കിലെയും (CVE-2016-4482) നെറ്റ്വർക്ക് സബ്സിസ്റ്റത്തിലെയും (CVE-2016-4485) വിവര ചോർച്ചകൾ തിരിച്ചറിയൽ. . സ്റ്റെൽത്ത് വൾനറബിലിറ്റി പ്രചരണത്തെക്കുറിച്ചുള്ള ഒരു പഠനത്തിൽ, മിനസോട്ട സർവകലാശാലയിൽ നിന്നുള്ള ഒരു സംഘം CVE-2019-12819 ന്റെ ഉദാഹരണം ഉദ്ധരിക്കുന്നു, 2014-ൽ പുറത്തിറക്കിയ ഒരു കേർണൽ പാച്ച് മൂലമുണ്ടായ ഒരു അപകടസാധ്യത. തിരുത്തൽ mdio_bus-ലെ പിശക് കൈകാര്യം ചെയ്യൽ ബ്ലോക്കിലേക്ക് put_device-ലേക്ക് ഒരു കോൾ ചേർത്തു, എന്നാൽ അഞ്ച് വർഷത്തിന് ശേഷം, അത്തരം കൃത്രിമങ്ങൾ മെമ്മറി ബ്ലോക്കിൽ നിന്ന് മോചിപ്പിച്ചതിന് ശേഷം അതിലേക്ക് ആക്സസ്സ് നൽകുമെന്ന് കണ്ടെത്തി ("ഉപയോഗത്തിന് ശേഷം-ഫ്രീ").
അതേസമയം, പഠനത്തിന്റെ രചയിതാക്കൾ അവരുടെ സൃഷ്ടിയിൽ പിശകുകൾ അവതരിപ്പിച്ച 138 പാച്ചുകളിലെ ഡാറ്റ സംഗ്രഹിച്ചിട്ടുണ്ടെന്നും പഠനത്തിൽ പങ്കെടുത്തവരുമായി ബന്ധമില്ലാത്തവരാണെന്നും അവകാശപ്പെടുന്നു. പിശകുകളുള്ള സ്വന്തം പാച്ചുകൾ അയയ്ക്കാനുള്ള ശ്രമങ്ങൾ ഇമെയിൽ കത്തിടപാടുകളിൽ മാത്രമായി പരിമിതപ്പെടുത്തി, അത്തരം മാറ്റങ്ങൾ Git-ൽ വന്നില്ല (പാച്ച് ഇമെയിൽ വഴി അയച്ചതിന് ശേഷം, പരിപാലിക്കുന്നയാൾ പാച്ച് സാധാരണമാണെന്ന് കണക്കാക്കിയാൽ, അവിടെ നിന്ന് മാറ്റം ഉൾപ്പെടുത്തരുതെന്ന് അവനോട് ആവശ്യപ്പെട്ടു. ഒരു പിശകായിരുന്നു, അതിനുശേഷം അവർ ശരിയായ പാച്ച് അയച്ചു).
കൂട്ടിച്ചേർക്കൽ 1: വിമർശിക്കപ്പെട്ട പാച്ചിന്റെ രചയിതാവിന്റെ പ്രവർത്തനം വിലയിരുത്തിയാൽ, അദ്ദേഹം വളരെക്കാലമായി വിവിധ കേർണൽ സബ്സിസ്റ്റങ്ങളിലേക്ക് പാച്ചുകൾ അയയ്ക്കുന്നു. ഉദാഹരണത്തിന്, ഒരു പിശക് ബ്ലോക്കിൽ pm_runtime_put_autosuspend(dev->dev) എന്നതിലേക്കുള്ള കോൾ ഉപയോഗിച്ച് റേഡിയൻ, നോവൗ ഡ്രൈവറുകൾ അടുത്തിടെ മാറ്റങ്ങൾ സ്വീകരിച്ചു, അതുമായി ബന്ധപ്പെട്ട മെമ്മറി സ്വതന്ത്രമാക്കിയതിന് ശേഷം ബഫർ ഉപയോഗിക്കുന്നതിന് കാരണമാകാം.
അനുബന്ധം 2: "@umn.edu" എന്നതുമായി ബന്ധപ്പെട്ട 190 കമ്മിറ്റുകൾ ഗ്രെഗ് പിൻവലിച്ചു, അവയുടെ പുനരവലോകനം ആരംഭിച്ചു. "@umn.edu" വിലാസങ്ങളുള്ള അംഗങ്ങൾ സംശയാസ്പദമായ പാച്ചുകൾ തള്ളുന്നതിൽ പരീക്ഷണം നടത്തുക മാത്രമല്ല, യഥാർത്ഥ കേടുപാടുകൾ പരിഹരിക്കുകയും ചെയ്തു എന്നതാണ് പ്രശ്നം. ചില മെയിന്റനർമാർ ഇതിനകം പഴയ മാറ്റങ്ങൾ വീണ്ടും പരിശോധിച്ചു, പ്രശ്നങ്ങളൊന്നും കണ്ടെത്തിയില്ല, എന്നാൽ മെയിന്റനർമാരിൽ ഒരാൾ തനിക്ക് അയച്ച പാച്ചുകളിൽ പിശകുകളുണ്ടെന്ന് സൂചിപ്പിച്ചു.
അവലംബം: opennet.ru