Greg Kroah-Hartman, anayehusika na kudumisha tawi thabiti la Linux kernel, aliamua kupiga marufuku kukubalika kwa mabadiliko yoyote yanayotoka Chuo Kikuu cha Minnesota hadi kwenye kernel ya Linux, na pia kurudisha nyuma viraka vyote vilivyokubaliwa hapo awali na kuhakiki upya. Sababu ya kuzuia ilikuwa shughuli za kikundi cha utafiti kinachosoma uwezekano wa kukuza udhaifu uliofichwa katika kanuni za miradi ya chanzo-wazi. Kikundi hiki kiliwasilisha viraka vilivyo na aina mbalimbali za hitilafu, kiliona majibu ya jumuiya, na kuchunguza njia za kudanganya mchakato wa ukaguzi kwa ajili ya mabadiliko. Kulingana na Greg, kufanya majaribio kama haya ili kuanzisha mabadiliko mabaya haikubaliki na ni kinyume cha maadili.
Sababu ya kuzuia ilikuwa kwamba wanachama wa kikundi hiki walituma kiraka ambacho kiliongeza hundi ya pointer ili kuondokana na uwezekano wa kupiga simu mara mbili ya kazi ya "bure". Kwa kuzingatia muktadha wa matumizi ya pointer, hundi haikuwa na maana. Madhumuni ya kuwasilisha kiraka ilikuwa kuona ikiwa mabadiliko yenye makosa yatapitisha ukaguzi na wasanidi wa kernel. Mbali na kiraka hiki, majaribio mengine ya watengenezaji kutoka Chuo Kikuu cha Minnesota yamejitokeza kufanya mabadiliko ya kutilia shaka kwenye punje, ikiwa ni pamoja na yale yanayohusiana na kuongezwa kwa udhaifu uliofichwa.
Mshiriki aliyetuma viraka hivyo alijaribu kujitetea kwa kusema kuwa anajaribu kichanganuzi kipya cha tuli na mabadiliko hayo yaliandaliwa kulingana na matokeo ya upimaji ndani yake. Lakini Greg alisisitiza ukweli kwamba marekebisho yaliyopendekezwa sio ya kawaida kwa makosa yaliyogunduliwa na wachambuzi tuli, na viraka vyote vilivyotumwa havirekebisha chochote. Kwa kuzingatia kwamba kikundi cha utafiti kinachohusika kimejaribu kushinikiza viraka kwa udhaifu uliofichwa hapo awali, ni wazi kwamba wameendelea na majaribio yao na jumuiya ya maendeleo ya punje.
Inafurahisha, hapo awali, kiongozi wa kikundi kinachofanya majaribio alihusika katika uwekaji viraka halali wa udhaifu, kwa mfano, kutambua uvujaji wa habari kwenye rundo la USB (CVE-2016-4482) na mfumo mdogo wa mtandao (CVE-2016-4485) . Katika utafiti kuhusu uenezaji hatari wa siri, timu kutoka Chuo Kikuu cha Minnesota inataja mfano wa CVE-2019-12819, hatari inayosababishwa na kiraka cha kernel iliyotolewa mnamo 2014. Marekebisho hayo yaliongeza wito kwa put_device kwenye kizuizi cha kushughulikia hitilafu katika mdio_bus, lakini miaka mitano baadaye iliibuka kuwa udanganyifu kama huo husababisha ufikiaji wa kizuizi cha kumbukumbu baada ya kuachiliwa ("use-after-free").
Wakati huo huo, waandishi wa utafiti huo wanadai kuwa katika kazi zao walifanya muhtasari wa data kwenye patches 138 ambazo zilileta makosa na hazihusiani na washiriki wa utafiti. Majaribio ya kutuma viraka vyao wenyewe na makosa yalipunguzwa kwa mawasiliano ya barua pepe, na mabadiliko kama haya hayakuingia kwenye Git (ikiwa, baada ya kutuma kiraka kwa barua pepe, mtunzaji alizingatia kiraka hicho kuwa cha kawaida, basi aliulizwa asijumuishe mabadiliko tangu hapo. ilikuwa kosa, baada ya hapo walituma kiraka sahihi).
Nyongeza ya 1: Kwa kuzingatia shughuli ya mwandishi wa kiraka kilichokosolewa, amekuwa akituma viraka kwa mifumo ndogo ya kernel kwa muda mrefu. Kwa mfano, viendeshi vya radeon na nouveau hivi majuzi vilipitisha mabadiliko kwa kupiga simu kwa pm_runtime_put_autosuspend(dev->dev) kwenye kizuizi cha hitilafu, ikiwezekana kusababisha buffer kutumika baada ya kukomboa kumbukumbu inayohusishwa nayo.
Nyongeza ya 2: Greg amerudisha ahadi 190 zinazohusishwa na "@umn.edu" na kuanza kuzihakiki upya. Shida ni kwamba washiriki walio na anwani za "@umn.edu" hawajajaribu tu kusukuma viraka vinavyotia shaka, lakini pia wameweka viraka udhaifu halisi, na kurudisha nyuma mabadiliko kunaweza kusababisha masuala ya usalama yaliyowekwa viraka kurejea. Baadhi ya watunzaji tayari wamekagua mabadiliko yaliyorejeshwa na hawakupata shida, lakini mmoja wa watunzaji alionyesha kuwa moja ya viraka vilivyotumwa kwake ilikuwa na makosa.
Chanzo: opennet.ru