Minnesota တက္ကသိုလ်သည် မေးခွန်းထုတ်စရာ ဖာထေးမှုများကို ပေးပို့ခြင်းကြောင့် Linux kernel ဖွံ့ဖြိုးတိုးတက်မှုကို ဆိုင်းငံ့ထားသည်။

Linux kernel ၏ တည်ငြိမ်သောဌာနခွဲကို ထိန်းသိမ်းရန် တာဝန်ရှိသော Greg Kroah-Hartman သည် Minnesota တက္ကသိုလ်မှ Linux kernel သို့ ပြောင်းလဲလာသော မည်သည့်ပြောင်းလဲမှုများကို လက်ခံခြင်းကို တားမြစ်ရန် ဆုံးဖြတ်ခဲ့ပြီး ယခင်လက်ခံထားသော ဖာထေးမှုများကို ပြန်လည်သုံးသပ်ကာ ၎င်းတို့ကို ပြန်လည်သုံးသပ်ရန် ဆုံးဖြတ်ခဲ့သည်။ ပိတ်ဆို့ရခြင်း၏ အကြောင်းရင်းမှာ open-source ပရောဂျက်များ၏ ကုဒ်ထဲသို့ လျှို့ဝှက်အားနည်းချက်များကို မြှင့်တင်နိုင်ခြေကို လေ့လာနေသည့် သုတေသနအဖွဲ့တစ်ခု၏ လုပ်ဆောင်ချက်များကြောင့် ဖြစ်သည်။ ဤအဖွဲ့သည် ပိုးမွှားအမျိုးအစားအမျိုးမျိုးပါ၀င်သည့် ဖာထေးမှုများကို တင်သွင်းပြီး၊ ရပ်ရွာ၏တုံ့ပြန်မှုကို စောင့်ကြည့်လေ့လာကာ အပြောင်းအလဲများအတွက် ပြန်လည်သုံးသပ်ခြင်းလုပ်ငန်းစဉ်ကို လှည့်စားရန်နည်းလမ်းများကို လေ့လာခဲ့သည်။ Greg ၏ အဆိုအရ၊ အန္တရာယ်ရှိသော အပြောင်းအလဲများကို မိတ်ဆက်ရန် ထိုကဲ့သို့သော စမ်းသပ်မှုများ ပြုလုပ်ခြင်းသည် လက်ခံနိုင်ဖွယ်မရှိသလို ကျင့်ဝတ်သိက္ခာမဲ့ပါသည်။

ပိတ်ဆို့ရခြင်းအကြောင်းရင်းမှာ ဤအဖွဲ့၏အဖွဲ့ဝင်များသည် “အခမဲ့” လုပ်ဆောင်ချက်၏ ဖြစ်နိုင်ချေနှစ်ချက်ခေါ်ဆိုမှုကို ဖယ်ရှားရန် ညွှန်ပြချက်စစ်ဆေးချက်ကို ထည့်သွင်းထားသည့် ဖာထေးမှုတစ်ခု ပေးပို့ခြင်းကြောင့်ဖြစ်သည်။ ညွှန်ပြချက်အသုံးပြုမှု၏ နောက်ခံအခြေအနေအရ စစ်ဆေးမှုသည် အဓိပ္ပာယ်မရှိပေ။ patch ကိုတင်ပြရခြင်း၏ရည်ရွယ်ချက်မှာ မှားယွင်းသောပြောင်းလဲမှုသည် kernel developer များမှပြန်လည်သုံးသပ်ခြင်းကိုကျော်သွားခြင်းရှိမရှိကြည့်ရှုရန်ဖြစ်သည်။ ဤ patch အပြင်၊ University of Minnesota မှ developer များ၏ အခြားသော ကြိုးပမ်းမှုများသည် ဝှက်ထားသော အားနည်းချက်များ ထပ်တိုးခြင်း အပါအဝင် kernel ကို သံသယဖြစ်ဖွယ် အပြောင်းအလဲများ ပြုလုပ်ရန် ပေါ်လာပါသည်။

ဖာထေးမှုများကို ပေးပို့သူတွင် ပါဝင်သူသည် တည်ငြိမ်မှု ခွဲခြမ်းစိတ်ဖြာမှုအသစ်ကို စမ်းသပ်နေပြီး ၎င်းတွင် စမ်းသပ်မှုရလဒ်များအပေါ် အခြေခံ၍ ပြောင်းလဲမှုအား ပြင်ဆင်ထားကြောင်း၊ သို့သော် Greg သည် အဆိုပြုထားသော ပြင်ဆင်မှုများကို static analyzers မှတွေ့ရှိသော အမှားများအတွက် ပုံမှန်မဟုတ်ကြောင်းနှင့် ပေးပို့ထားသော ဖာထေးမှုအားလုံးသည် တစ်စုံတစ်ရာကို ပြုပြင်မွမ်းမံခြင်းမရှိကြောင်း Greg မှ အာရုံစိုက်ခဲ့သည်။ မေးခွန်းထုတ်ထားသော သုတေသနအဖွဲ့သည် ယခင်က လျှို့ဝှက်အားနည်းချက်များအတွက် ဖာထေးရန် ကြိုးပမ်းခဲ့သော်လည်း၊ ၎င်းတို့သည် kernel ဖွံ့ဖြိုးတိုးတက်မှု အသိုင်းအဝိုင်းနှင့် ၎င်းတို့၏ စမ်းသပ်မှုများကို ဆက်လက်လုပ်ဆောင်ခဲ့ကြောင်း ထင်ရှားပါသည်။

စိတ်ဝင်စားစရာမှာ၊ အတိတ်တွင်၊ စမ်းသပ်မှုများပြုလုပ်နေသောအဖွဲ့၏ခေါင်းဆောင်သည် အားနည်းချက်များကိုတရားဝင်ပြင်ဆင်ခြင်းတွင်၊ ဥပမာအားဖြင့် USB stack (CVE-2016-4482) နှင့် network subsystem (CVE-2016-4485) တွင် အချက်အလက်ပေါက်ကြားမှုများကို ဖော်ထုတ်ခြင်းတွင် ပါဝင်ခဲ့ပါသည်။ . stealth vulnerability ပြန့်ပွားမှုဆိုင်ရာ လေ့လာမှုတစ်ခုတွင် Minnesota တက္ကသိုလ်မှ အဖွဲ့တစ်ဖွဲ့သည် 2019 ခုနှစ်တွင် ထွက်ရှိခဲ့သော kernel patch ကြောင့်ဖြစ်ရသည့် အားနည်းချက် CVE-12819-2014 ၏ နမူနာကို ကိုးကားဖော်ပြပါသည်။ ပြုပြင်မှုသည် mdio_bus ရှိ အမှားအယွင်း ကိုင်တွယ်မှုဘလောက်သို့ put_device သို့ ခေါ်ဆိုမှုတစ်ခု ထပ်ထည့်လိုက်သော်လည်း၊ ထိုသို့သော ခြယ်လှယ်မှုသည် ၎င်းကို လွတ်မြောက်ပြီးနောက် ("အခမဲ့သုံးပြီးနောက် မမ်မိုရီဘလောက်" သို့ ဝင်ရောက်နိုင်စေကြောင်း ပေါ်ပေါက်လာခဲ့သည်။

တစ်ချိန်တည်းမှာပင်၊ လေ့လာမှု၏စာရေးဆရာများက ၎င်းတို့၏လုပ်ငန်းတွင် အမှားများကို မိတ်ဆက်ခဲ့ပြီး လေ့လာမှုတွင်ပါဝင်သူများနှင့် မသက်ဆိုင်သည့် ဖာထေးမှု 138 တွင် ဒေတာအကျဉ်းချုံ့ခဲ့ကြောင်း အခိုင်အမာဆိုသည်။ အမှားအယွင်းများဖြင့် ၎င်းတို့၏ကိုယ်ပိုင် ဖာထေးရန် ကြိုးပမ်းမှုများသည် အီးမေးလ်စာပေးစာယူအတွက်သာ ကန့်သတ်ထားသဖြင့် ထိုပြောင်းလဲမှုများသည် Git တွင် မရရှိခဲ့ပါ ( အကယ်၍ patch ကို အီးမေးလ်ဖြင့် ပေးပို့ပြီးနောက် ထိန်းသိမ်းသူသည် patch ကို ပုံမှန်ဟု ယူဆပါက၊ ထိုမှစတင်၍ အပြောင်းအလဲကို ထည့်သွင်းရန် မတောင်းဆိုပါ။ အမှားအယွင်းဖြစ်ခဲ့သည်၊ ထို့နောက် ၎င်းတို့သည် မှန်ကန်သော patch ကို ပေးပို့ခဲ့သည်။)

ထပ်လောင်း 1- ဝေဖန်ထားသော patch ရေးသားသူ၏ လုပ်ဆောင်ချက်ကို အကဲဖြတ်ခြင်းဖြင့်၊ သူသည် အမျိုးမျိုးသော kernel subsystems သို့ patches များကို ပေးပို့နေသည်မှာ ကြာပါပြီ။ ဥပမာအားဖြင့်၊ မကြာသေးမီက radeon နှင့် nouveau ဒရိုက်ဘာများသည် အမှားဘလောက်တစ်ခုတွင် pm_runtime_put_autosuspend(dev->dev) သို့ ခေါ်ဆိုမှုဖြင့် ပြောင်းလဲမှုများကို လက်ခံခဲ့ပြီး ၎င်းနှင့်ဆက်စပ်နေသော မမ်မိုရီကို လွတ်သွားပြီးနောက်တွင် ကြားခံကို အသုံးပြုသွားနိုင်သည်။

နောက်ဆက်တွဲ 2- Greg သည် "@umn.edu" နှင့် ဆက်စပ်သော ကတိပြုချက် 190 ကို ပြန်လည်သုံးသပ်ပြီး ၎င်းတို့ကို ပြန်လည်သုံးသပ်မှု စတင်ခဲ့သည်။ ပြဿနာမှာ "@umn.edu" လိပ်စာများပါရှိသော အဖွဲ့ဝင်များသည် မေးခွန်းထုတ်စရာ ဖာထေးမှုများကို တွန်းတင်ရုံသာမက အားနည်းချက်အစစ်အမှန်များကိုပါ ဖာထေးပေးကာ ပြုပြင်ပြောင်းလဲမှုများကို ပြန်လည်လုပ်ဆောင်ခြင်းဖြင့် ယခင်က ဖာထေးထားသော လုံခြုံရေးဆိုင်ရာ ပြဿနာများ ပြန်ဖြစ်လာနိုင်သောကြောင့် ဖြစ်သည်။ အချို့သော ထိန်းသိမ်းသူများသည် ပြန်ပြောင်းထားသော အပြောင်းအလဲများကို ပြန်လည်စစ်ဆေးပြီးဖြစ်သော်လည်း ပြဿနာမရှိသော်လည်း ပြုပြင်ထိန်းသိမ်းသူတဦးက သူ့ထံပေးပို့သော ဖာထေးမှုတစ်ခုတွင် အမှားအယွင်းများရှိနေကြောင်း ပြုပြင်ထိန်းသိမ်းသူအချို့က ထောက်ပြသည်။

source: opennet.ru