Linux కెర్నల్ యొక్క స్థిరమైన శాఖను నిర్వహించే బాధ్యత కలిగిన Greg Kroah-Hartman, మిన్నెసోటా విశ్వవిద్యాలయం నుండి Linux కెర్నల్లోకి వచ్చే ఏవైనా మార్పులను ఆమోదించడాన్ని నిషేధించాలని మరియు గతంలో ఆమోదించబడిన అన్ని ప్యాచ్లను వెనక్కి తిప్పికొట్టాలని మరియు వాటిని తిరిగి సమీక్షించాలని నిర్ణయించారు. నిరోధించడానికి కారణం ఓపెన్ సోర్స్ ప్రాజెక్ట్ల కోడ్లో దాచిన దుర్బలత్వాలను ప్రోత్సహించే అవకాశాన్ని అధ్యయనం చేసే పరిశోధనా బృందం యొక్క కార్యకలాపాలు. ఈ సమూహం వివిధ రకాల బగ్లను కలిగి ఉన్న ప్యాచ్లను సమర్పించింది, సంఘం యొక్క ప్రతిచర్యను గమనించింది మరియు మార్పుల కోసం సమీక్ష ప్రక్రియను మోసం చేసే మార్గాలను అధ్యయనం చేసింది. గ్రెగ్ ప్రకారం, హానికరమైన మార్పులను పరిచయం చేయడానికి ఇటువంటి ప్రయోగాలు చేయడం ఆమోదయోగ్యం కాదు మరియు అనైతికం.
బ్లాక్ చేయడానికి కారణం ఏమిటంటే, ఈ సమూహంలోని సభ్యులు "ఉచిత" ఫంక్షన్ యొక్క డబుల్ కాల్ను తొలగించడానికి పాయింటర్ చెక్ను జోడించిన ప్యాచ్ను పంపారు. పాయింటర్ యొక్క ఉపయోగం యొక్క సందర్భాన్ని బట్టి, చెక్ అర్ధంలేనిది. పాచ్ను సమర్పించడం యొక్క ఉద్దేశ్యం తప్పు మార్పు కెర్నల్ డెవలపర్లచే సమీక్షలో ఉత్తీర్ణత సాధిస్తుందో లేదో చూడడమే. ఈ ప్యాచ్తో పాటు, మిన్నెసోటా విశ్వవిద్యాలయం నుండి డెవలపర్లు చేసిన ఇతర ప్రయత్నాలు కెర్నల్లో సందేహాస్పదమైన మార్పులను చేయడానికి తెరపైకి వచ్చాయి, దాగి ఉన్న దుర్బలత్వాల జోడింపుతో సహా.
ప్యాచ్లను పంపిన పార్టిసిపెంట్ తాను కొత్త స్టాటిక్ ఎనలైజర్ని పరీక్షిస్తున్నానని మరియు దానిలోని పరీక్ష ఫలితాల ఆధారంగా మార్పు సిద్ధం చేయబడిందని చెప్పడం ద్వారా తనను తాను సమర్థించుకోవడానికి ప్రయత్నించాడు. కానీ స్టాటిక్ ఎనలైజర్ల ద్వారా కనుగొనబడిన లోపాల కోసం ప్రతిపాదిత పరిష్కారాలు విలక్షణమైనవి కావు మరియు పంపిన అన్ని ప్యాచ్లు దేనినీ పరిష్కరించలేవని గ్రెగ్ దృష్టిని ఆకర్షించాడు. సందేహాస్పద పరిశోధనా బృందం గతంలో దాచిన దుర్బలత్వాల కోసం పాచెస్ను నెట్టడానికి ప్రయత్నించినందున, వారు కెర్నల్ డెవలప్మెంట్ కమ్యూనిటీతో తమ ప్రయోగాలను కొనసాగించినట్లు స్పష్టమవుతుంది.
ఆసక్తికరంగా, గతంలో, ప్రయోగాలు నిర్వహిస్తున్న సమూహం యొక్క నాయకుడు దుర్బలత్వాలను చట్టబద్ధంగా గుర్తించడంలో పాలుపంచుకున్నారు, ఉదాహరణకు, USB స్టాక్ (CVE-2016-4482) మరియు నెట్వర్క్ సబ్సిస్టమ్ (CVE-2016-4485)లో సమాచార లీక్లను గుర్తించడం. . స్టెల్త్ వల్నరబిలిటీ ప్రచారంపై ఒక అధ్యయనంలో, మిన్నెసోటా విశ్వవిద్యాలయానికి చెందిన బృందం CVE-2019-12819 యొక్క ఉదాహరణను ఉదహరించింది, ఇది 2014లో విడుదలైన కెర్నల్ ప్యాచ్ వల్ల ఏర్పడిన దుర్బలత్వం. పరిష్కారము mdio_busలోని ఎర్రర్ హ్యాండ్లింగ్ బ్లాక్కు put_deviceకి కాల్ని జోడించింది, అయితే ఐదు సంవత్సరాల తర్వాత అటువంటి తారుమారు మెమరీ బ్లాక్ను విడుదల చేసిన తర్వాత (“ఉపయోగం-తరువాత-ఉచితం”) యాక్సెస్కు దారితీస్తుందని తేలింది.
అదే సమయంలో, అధ్యయనం యొక్క రచయితలు తమ పనిలో లోపాలను ప్రవేశపెట్టిన 138 ప్యాచ్లపై డేటాను సంగ్రహించారని మరియు అధ్యయనంలో పాల్గొనేవారికి సంబంధం లేదని పేర్కొన్నారు. లోపాలతో వారి స్వంత ప్యాచ్లను పంపే ప్రయత్నాలు ఇమెయిల్ కరస్పాండెన్స్కే పరిమితం చేయబడ్డాయి మరియు అలాంటి మార్పులు Gitలోకి రాలేదు (ఇమెయిల్ ద్వారా ప్యాచ్ను పంపిన తర్వాత, మెయింటెయినర్ ప్యాచ్ని సాధారణమైనదిగా పరిగణించినట్లయితే, అక్కడ నుండి మార్పును చేర్చవద్దని అడిగారు. ఒక లోపం, ఆ తర్వాత వారు సరైన ప్యాచ్ని పంపారు).
అదనంగా 1: విమర్శించబడిన పాచ్ యొక్క రచయిత యొక్క కార్యాచరణ ద్వారా నిర్ణయించడం, అతను చాలా కాలంగా వివిధ కెర్నల్ సబ్సిస్టమ్లకు ప్యాచ్లను పంపుతున్నాడు. ఉదాహరణకు, radeon మరియు nouveau డ్రైవర్లు ఇటీవల ఒక ఎర్రర్ బ్లాక్లో pm_runtime_put_autosuspend(dev->dev)కి చేసిన కాల్తో మార్పులను స్వీకరించారు, బహుశా దానితో అనుబంధించబడిన మెమరీని ఖాళీ చేసిన తర్వాత బఫర్ని ఉపయోగించుకోవచ్చు.
అనుబంధం 2: "@umn.edu"తో అనుబంధించబడిన 190 కమిట్లను గ్రెగ్ వెనక్కి తీసుకున్నారు మరియు వాటి యొక్క పునఃసమీక్షను ప్రారంభించారు. సమస్య ఏమిటంటే, "@umn.edu" చిరునామాలను కలిగి ఉన్న సభ్యులు సందేహాస్పదమైన ప్యాచ్లను నెట్టడం ద్వారా ప్రయోగాలు చేయడమే కాకుండా, నిజమైన దుర్బలత్వాలను కూడా పరిష్కరించారు మరియు మార్పులను వెనక్కి తీసుకోవడం వలన గతంలో ప్యాచ్ చేయబడిన భద్రతా సమస్యలు తిరిగి రావచ్చు. కొంతమంది మెయింటెయినర్లు ఇప్పటికే రివర్ట్ చేసిన మార్పులను రీచెక్ చేసారు మరియు సమస్యలు ఏవీ కనుగొనబడలేదు, అయితే మెయింటెయినర్లలో ఒకరు అతనికి పంపిన పాచ్లలో ఒకదానిలో లోపాలు ఉన్నాయని సూచించాడు.
మూలం: opennet.ru