புரோஹோஸ்டர் > Блог > இணைய செய்தி > கேள்விக்குரிய இணைப்புகளை அனுப்பியதற்காக மினசோட்டா பல்கலைக்கழகம் லினக்ஸ் கர்னல் மேம்பாட்டிலிருந்து இடைநீக்கம் செய்யப்பட்டது

கேள்விக்குரிய இணைப்புகளை அனுப்பியதற்காக மினசோட்டா பல்கலைக்கழகம் லினக்ஸ் கர்னல் மேம்பாட்டிலிருந்து இடைநீக்கம் செய்யப்பட்டது

லினக்ஸ் கர்னலின் நிலையான கிளையை பராமரிக்கும் பொறுப்பான கிரெக் க்ரோஹ்-ஹார்ட்மேன், மினசோட்டா பல்கலைக்கழகத்தில் இருந்து லினக்ஸ் கர்னலில் வரும் எந்த மாற்றங்களையும் ஏற்றுக்கொள்வதை தடை செய்ய முடிவு செய்தார், மேலும் முன்னர் ஏற்றுக்கொள்ளப்பட்ட அனைத்து இணைப்புகளையும் திரும்பப் பெறவும் அவற்றை மறுபரிசீலனை செய்யவும் முடிவு செய்தார். திறந்த மூல திட்டங்களின் குறியீட்டில் மறைக்கப்பட்ட பாதிப்புகளை மேம்படுத்துவதற்கான சாத்தியக்கூறுகளைப் படிக்கும் ஒரு ஆராய்ச்சிக் குழுவின் செயல்பாடுகள் தடுப்பதற்குக் காரணம். இந்தக் குழு பல்வேறு வகையான பிழைகளைக் கொண்ட இணைப்புகளைச் சமர்ப்பித்தது, சமூகத்தின் எதிர்வினைகளைக் கவனித்தது மற்றும் மாற்றங்களுக்கான மதிப்பாய்வு செயல்முறையை ஏமாற்றுவதற்கான வழிகளை ஆய்வு செய்தது. கிரெக்கின் கூற்றுப்படி, தீங்கிழைக்கும் மாற்றங்களை அறிமுகப்படுத்த இதுபோன்ற சோதனைகளை நடத்துவது ஏற்றுக்கொள்ள முடியாதது மற்றும் நெறிமுறையற்றது.

இந்த குழுவின் உறுப்பினர்கள் "இலவச" செயல்பாட்டின் சாத்தியமான இரட்டை அழைப்பை அகற்ற ஒரு சுட்டிச் சரிபார்ப்பைச் சேர்த்த பேட்சை அனுப்பியதே தடுப்பதற்கான காரணம். சுட்டியின் பயன்பாட்டின் சூழலைக் கருத்தில் கொண்டு, காசோலை அர்த்தமற்றது. பேட்சைச் சமர்ப்பிப்பதன் நோக்கம், தவறான மாற்றம் கர்னல் டெவலப்பர்களால் மதிப்பாய்வு செய்யப்படுமா என்பதைப் பார்ப்பதாகும். இந்த இணைப்புக்கு கூடுதலாக, மினசோட்டா பல்கலைக்கழகத்தின் டெவலப்பர்களின் பிற முயற்சிகள் கர்னலில் சந்தேகத்திற்குரிய மாற்றங்களைச் செய்ய வெளிப்பட்டுள்ளன, இதில் மறைக்கப்பட்ட பாதிப்புகளைச் சேர்ப்பது உட்பட.

இணைப்புகளை அனுப்பிய பங்கேற்பாளர் புதிய நிலையான பகுப்பாய்வியை பரிசோதிப்பதாகவும், அதில் உள்ள சோதனை முடிவுகளின் அடிப்படையில் மாற்றம் தயாரிக்கப்பட்டதாகவும் கூறி தன்னை நியாயப்படுத்த முயன்றார். ஆனால் நிலையான பகுப்பாய்விகளால் கண்டறியப்பட்ட பிழைகளுக்கு முன்மொழியப்பட்ட திருத்தங்கள் பொதுவானவை அல்ல என்பதையும், அனுப்பப்பட்ட அனைத்து இணைப்புகளும் எதையும் சரிசெய்யவில்லை என்பதையும் கிரெக் கவனித்தார். கேள்விக்குரிய ஆராய்ச்சி குழு கடந்த காலங்களில் மறைக்கப்பட்ட பாதிப்புகளுக்கான இணைப்புகளைத் தள்ள முயற்சித்ததைக் கருத்தில் கொண்டு, அவர்கள் கர்னல் மேம்பாட்டு சமூகத்துடன் தங்கள் சோதனைகளைத் தொடர்ந்தனர் என்பது தெளிவாகிறது.

சுவாரஸ்யமாக, கடந்த காலங்களில், சோதனைகளை நடத்தும் குழுவின் தலைவர், முறையான பாதிப்புகளை சரிசெய்வதில் ஈடுபட்டார், எடுத்துக்காட்டாக, USB ஸ்டாக் (CVE-2016-4482) மற்றும் நெட்வொர்க் துணை அமைப்பில் (CVE-2016-4485) தகவல் கசிவைக் கண்டறிதல். . திருட்டுத்தனமான பாதிப்பு பரவல் குறித்த ஆய்வில், மினசோட்டா பல்கலைக்கழகத்தின் ஒரு குழு CVE-2019-12819 இன் உதாரணத்தை மேற்கோள் காட்டுகிறது, இது 2014 இல் வெளியிடப்பட்ட கர்னல் பேட்சால் ஏற்படும் பாதிப்பாகும். திருத்தமானது mdio_bus இல் உள்ள பிழையைக் கையாளும் தொகுதிக்கு put_device க்கு அழைப்பைச் சேர்த்தது, ஆனால் ஐந்து ஆண்டுகளுக்குப் பிறகு, அத்தகைய கையாளுதல் நினைவகத் தொகுதியை விடுவித்த பிறகு அணுகுவதற்கு வழிவகுக்கிறது ("பயன்பாட்டிற்குப் பிறகு-இலவசம்").

அதே நேரத்தில், ஆய்வின் ஆசிரியர்கள் தங்கள் வேலையில் பிழைகளை அறிமுகப்படுத்திய 138 பேட்ச்களில் தரவைச் சுருக்கி, ஆய்வில் பங்கேற்பாளர்களுடன் தொடர்பில்லாததாகக் கூறுகின்றனர். பிழைகளுடன் தங்கள் சொந்த இணைப்புகளை அனுப்பும் முயற்சிகள் மின்னஞ்சல் கடிதப் பரிமாற்றத்திற்கு மட்டுப்படுத்தப்பட்டன, மேலும் அத்தகைய மாற்றங்கள் Git இல் வரவில்லை (மின்னஞ்சலில் பேட்சை அனுப்பிய பிறகு, பராமரிப்பாளர் பேட்சை இயல்பானதாகக் கருதினால், பின்னர் மாற்றத்தைச் சேர்க்க வேண்டாம் என்று அவரிடம் கேட்கப்பட்டது. ஒரு பிழை, அதன் பிறகு அவர்கள் சரியான பேட்சை அனுப்பினார்கள்).

கூட்டல் 1: விமர்சிக்கப்பட்ட இணைப்பின் ஆசிரியரின் செயல்பாட்டின் மூலம் ஆராயும்போது, ​​அவர் நீண்ட காலமாக பல்வேறு கர்னல் துணை அமைப்புகளுக்கு இணைப்புகளை அனுப்புகிறார். எடுத்துக்காட்டாக, ரேடியான் மற்றும் நோவியோ இயக்கிகள் சமீபத்தில் pm_runtime_put_autosuspend(dev->dev) க்கு ஒரு அழைப்பின் மூலம் மாற்றங்களை ஒரு பிழைத் தொகுதியில் ஏற்றுக்கொண்டன, இது அதனுடன் தொடர்புடைய நினைவகத்தை விடுவித்த பிறகு இடையகத்தைப் பயன்படுத்துவதற்கு காரணமாக இருக்கலாம்.

சேர்க்கை 2: கிரெக் "@umn.edu" உடன் தொடர்புடைய 190 கமிட்களைத் திரும்பப் பெற்றுள்ளார் மற்றும் அவற்றின் மறு மதிப்பாய்வைத் தொடங்கினார். சிக்கல் என்னவென்றால், "@umn.edu" முகவரிகளைக் கொண்ட உறுப்பினர்கள் சந்தேகத்திற்குரிய இணைப்புகளைத் தள்ளுவது மட்டுமல்லாமல், உண்மையான பாதிப்புகளையும் சரிசெய்துள்ளனர், மேலும் மாற்றங்களைத் திரும்பப் பெறுவது, முன்பு பேட்ச் செய்யப்பட்ட பாதுகாப்புச் சிக்கல்களைத் திரும்பப் பெறலாம். சில பராமரிப்பாளர்கள் ஏற்கனவே மாற்றியமைக்கப்பட்ட மாற்றங்களை மறுபரிசீலனை செய்துள்ளனர் மற்றும் எந்த பிரச்சனையும் இல்லை, ஆனால் பராமரிப்பாளர்களில் ஒருவர் அவருக்கு அனுப்பப்பட்ட இணைப்புகளில் ஒன்றில் பிழைகள் இருப்பதாக சுட்டிக்காட்டினார்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்