ලිනක්ස් කර්නලයේ ස්ථායී ශාඛාව පවත්වාගෙන යාමේ වගකීම දරන Greg Kroah-Hartman, Minnesota විශ්ව විද්යාලයෙන් Linux කර්නලයට එන ඕනෑම වෙනස්කමක් පිළිගැනීම තහනම් කිරීමටත්, කලින් පිළිගත් සියලුම පැච් ආපසු හරවා නැවත සමාලෝචනය කිරීමටත් තීරණය කළේය. අවහිර වීමට හේතුව විවෘත මූලාශ්ර ව්යාපෘතිවල සංග්රහයට සැඟවුණු දුර්වලතා ප්රවර්ධනය කිරීමේ හැකියාව අධ්යයනය කරන පර්යේෂණ කණ්ඩායමක ක්රියාකාරකම් ය. මෙම කණ්ඩායම විවිධ වර්ගයේ දෝෂ සහිත පැච් ඉදිරිපත් කර, ප්රජාවගේ ප්රතික්රියාව නිරීක්ෂණය කර, වෙනස්කම් සඳහා සමාලෝචන ක්රියාවලිය වංචා කිරීමේ ක්රම අධ්යයනය කළේය. ග්රෙග්ට අනුව, ද්වේෂසහගත වෙනස්කම් හඳුන්වා දීම සඳහා එවැනි අත්හදා බැලීම් සිදු කිරීම පිළිගත නොහැකි සහ සදාචාර විරෝධී ය.
අවහිර කිරීමට හේතුව මෙම කණ්ඩායමේ සාමාජිකයින් විසින් "නොමිලේ" ශ්රිතයේ ඇති විය හැකි ද්විත්ව ඇමතුම ඉවත් කිරීම සඳහා පොයින්ටර් චෙක්පතක් එක් කළ පැච් එකක් එවීමයි. දර්ශකය භාවිතා කිරීමේ සන්දර්භය අනුව, චෙක්පත නිෂ්ඵල විය. පැච් එක ඉදිරිපත් කිරීමේ අරමුණ වූයේ වැරදි වෙනස් කිරීම කර්නල් සංවර්ධකයින් විසින් සමාලෝචනය කරනු ලබන්නේ දැයි බැලීමයි. මෙම පැච් එකට අමතරව, මිනසෝටා විශ්ව විද්යාලයේ සංවර්ධකයින්ගේ වෙනත් උත්සාහයන් කර්නලයට සැක සහිත වෙනස්කම් කිරීමට මතු වී ඇත, සැඟවුණු දුර්වලතා එකතු කිරීම සම්බන්ධ ඒවා ද ඇතුළත් ය.
පැච් එවූ සහභාගිකයා තමා නව ස්ථිතික විශ්ලේෂකයක් පරීක්ෂා කරන බව පවසමින් තමාව සාධාරණීකරණය කිරීමට උත්සාහ කළ අතර එහි පරීක්ෂණ ප්රති results ල මත පදනම්ව වෙනස සකස් කරන ලදී. නමුත් ස්ථිතික විශ්ලේෂක මගින් අනාවරණය කරගත් දෝෂ සඳහා යෝජිත නිවැරදි කිරීම් සාමාන්ය නොවන බවත්, යවන ලද සියලුම පැච් කිසිවක් නිවැරදි නොකරන බවත් ග්රෙග් අවධානය යොමු කළේය. අදාළ පර්යේෂණ කණ්ඩායම අතීතයේ සැඟවුණු දුර්වලතා සඳහා පැච් තල්ලු කිරීමට උත්සාහ කර ඇති හෙයින්, ඔවුන් කර්නල් සංවර්ධන ප්රජාව සමඟ ඔවුන්ගේ අත්හදා බැලීම් දිගටම කරගෙන ගොස් ඇති බව පැහැදිලිය.
සිත්ගන්නා කරුණ නම්, අතීතයේ දී, අත්හදා බැලීම් සිදු කරන කණ්ඩායමේ නායකයා දුර්වලතා නීත්යානුකූලව හඳුනා ගැනීමට සම්බන්ධ වූ අතර, උදාහරණයක් ලෙස, USB තොගයේ (CVE-2016-4482) සහ ජාල උප පද්ධතියේ (CVE-2016-4485) තොරතුරු කාන්දුවීම් හඳුනා ගැනීම. . රහසිගත අවදානම් ප්රචාරණය පිළිබඳ අධ්යයනයක දී, මිනසෝටා විශ්ව විද්යාලයේ කණ්ඩායමක් 2019 දී නිකුත් කරන ලද කර්නල් පැච් එකක් නිසා ඇති වූ අවදානමක් වන CVE-12819-2014 හි උදාහරණය උපුටා දක්වයි. මෙම නිවැරදි කිරීම mdio_bus හි දෝෂ හසුරුවන කොටසට put_device වෙත ඇමතුමක් එක් කරන ලදී, නමුත් වසර පහකට පසුව පෙනී ගියේ එවැනි උපාමාරු මගින් එය නිදහස් කිරීමෙන් පසු මතක කොටස වෙත ප්රවේශ වීමට හේතු වන බවයි ("භාවිතා කිරීමෙන් පසු-නිදහස්").
ඒ අතරම, අධ්යයනයේ කතුවරුන් කියා සිටින්නේ ඔවුන්ගේ කාර්යයේදී ඔවුන් දෝෂ හඳුන්වා දුන් සහ අධ්යයනයට සහභාගී වූවන්ට සම්බන්ධ නොවන පැච් 138 ක දත්ත සාරාංශ කර ඇති බවයි. දෝෂ සහිත තමන්ගේම පැච් යැවීමට ගත් උත්සාහයන් විද්යුත් තැපෑල ලිපි හුවමාරුවට පමණක් සීමා වූ අතර, එවැනි වෙනස්කම් Git වෙත නොපැමිණියේය (පැච් එක විද්යුත් තැපෑලෙන් යැවීමෙන් පසු, නඩත්තු කරන්නා පැච් එක සාමාන්ය යැයි සැලකුවේ නම්, එතැන් සිට වෙනස ඇතුළත් නොකරන ලෙස ඔහුගෙන් ඉල්ලා සිටියේය. දෝෂයක් විය, පසුව ඔවුන් නිවැරදි පැච් එක යවා ඇත).
එකතු කිරීම 1: විවේචනය කරන ලද පැච් කතුවරයාගේ ක්රියාකාරිත්වය අනුව විනිශ්චය කිරීම, ඔහු දිගු කලක් තිස්සේ විවිධ කර්නල් උප පද්ධති වෙත පැච් යවා ඇත. උදාහරණයක් ලෙස, radeon සහ nouveau ධාවක විසින් මෑතකදී pm_runtime_put_autosuspend(dev->dev) වෙත ඇමතුමක් සමඟින් වෙනස් කිරීම් සිදු කරන ලදී, එය දෝෂ අවහිරයක් තුළ, එය සම්බන්ධ මතකය නිදහස් කිරීමෙන් පසු බෆරය භාවිතා කිරීමට හේතු විය හැක.
අතිරේකය 2: ග්රෙග් "@umn.edu" හා සම්බන්ධ කැපවීම් 190ක් ආපසු හරවා ඒවා නැවත සමාලෝචනයක් ආරම්භ කර ඇත. ගැටලුව වන්නේ "@umn.edu" ලිපින සහිත සාමාජිකයින් සැක සහිත පැච් තල්ලු කිරීම පමණක් නොව, සැබෑ දුර්වලතා ද පරීක්ෂා කර ඇති අතර, වෙනස්කම් පෙරළීම පෙර පැච් කළ ආරක්ෂක ගැටළු නැවත පැමිණීමට හේතු විය හැක. සමහර නඩත්තු කරන්නන් දැනටමත් ප්රතිවර්තනය කරන ලද වෙනස්කම් නැවත පරීක්ෂා කර ඇති අතර කිසිදු ගැටළුවක් සොයාගෙන නැත, නමුත් එක් නඩත්තුකරුවෙකු ඔහුට එවන ලද එක් පැච් එකක දෝෂ ඇති බව පෙන්වා දුන්නේය.
මූලාශ්රය: opennet.ru