Грег Кроа-Хартман, масъул барои нигоҳ доштани шохаи устувори ядрои Linux, тасмим гирифт, ки қабули ҳама гуна тағиротро аз Донишгоҳи Миннесота ба ядрои Linux манъ кунад ва инчунин ҳама часпакҳои қаблан қабулшударо баргардонад ва онҳоро дубора баррасӣ кунад. Сабаби басташавӣ фаъолияти як гурӯҳи тадқиқотӣ буд, ки имкони пешбурди осебпазирии пинҳон дар рамзи лоиҳаҳои кушодаасосро меомӯзад. Ин гурӯҳ часпакҳоеро пешниҳод кард, ки дорои намудҳои гуногуни хатогиҳо буданд, аксуламали ҷомеаро мушоҳида карданд ва роҳҳои фиреб додани раванди баррасии тағйиротро омӯхтанд. Ба гуфтаи Грег, гузаронидани чунин таҷрибаҳо барои ворид кардани тағйироти бадхоҳ ғайри қобили қабул ва ғайриахлоқист.
Сабаби басташавӣ дар он буд, ки аъзои ин гурӯҳ як часпак фиристоданд, ки барои аз байн бурдани занги эҳтимолии дукаратаи функсияи “озод” чеки ишораро илова кардааст. Бо назардошти контексти истифодаи нишондод, чек бемаънӣ буд. Мақсади пешниҳоди патч ин буд, ки оё тағироти хато аз баррасии таҳиягарони ядро гузарад ё не. Илова ба ин пачка, дигар кӯшишҳои таҳиягарон аз Донишгоҳи Миннесота барои ворид кардани тағйироти шубҳанок ба ядро, аз ҷумла онҳое, ки бо илова кардани осебпазириҳои пинҳонӣ алоқаманданд, пайдо шуданд.
Иштирокчӣ, ки часпакҳоро фиристодааст, кӯшиш кард, ки худро сафед кунад, ки вай анализатори нави статикиро месанҷад ва тағирот аз рӯи натиҷаҳои санҷиш дар он омода шудааст. Аммо Грег таваҷҷӯҳро ба он ҷалб кард, ки ислоҳҳои пешниҳодшуда барои хатогиҳои аз ҷониби анализаторҳои статикӣ ошкоршуда хос нестанд ва ҳама часпакҳои фиристодашуда ҳеҷ чизро ислоҳ намекунанд. Бо дарназардошти он, ки гурӯҳи тадқиқотии мавриди назар дар гузашта кӯшиш карда буд, ки часбҳоро барои осебпазириҳои пинҳоншуда тела диҳад, маълум аст, ки онҳо таҷрибаҳои худро бо ҷомеаи рушди ядро идома додаанд.
Ҷолиб он аст, ки дар гузашта роҳбари гурӯҳе, ки таҷрибаҳо мегузаронад, дар ислоҳи қонунии осебпазирӣ, масалан, муайян кардани ихроҷи иттилоот дар стеки USB (CVE-2016-4482) ва зерсистемаи шабака (CVE-2016-4485) машғул буд. . Дар як пажӯҳиш оид ба паҳншавии осебпазирии пинҳонӣ, як гурӯҳ аз Донишгоҳи Миннесота мисоли CVE-2019-12819-ро мисол меорад, ки осебпазирие, ки дар соли 2014 интишори ямоқи ядроӣ ба вуҷуд омадааст. Ислоҳ зангро ба put_device ба блоки коркарди хатогиҳо дар mdio_bus илова кард, аммо пас аз панҷ сол маълум шуд, ки чунин таҳрик боиси дастрасӣ ба блоки хотира пас аз озод шудани он мегардад («истифода пас аз озод»).
Ҳамзамон, муаллифони тадқиқот иддао доранд, ки дар кори худ онҳо маълумотро дар бораи 138 часпакҳо ҷамъбаст кардаанд, ки хатогиҳоро ҷорӣ кардаанд ва ба иштирокчиёни таҳқиқот иртибот надоштанд. Кӯшишҳо барои фиристодани часпакҳои худ бо хатогиҳо бо мукотибаи почтаи электронӣ маҳдуд буданд ва чунин тағиротҳо ба Git ворид нашуданд (агар пас аз фиристодани часпак тавассути почтаи электронӣ, нигоҳдор патчро муқаррарӣ ҳисобид, пас аз ӯ хоҳиш карда шуд, ки тағиротро дохил накунад, зеро он ҷо хато буд, пас аз он онҳо ямоқи дурустро фиристоданд).
Иловаи 1: Аз рӯи фаъолияти муаллифи патчи танқидшуда, вай муддати тӯлонӣ ба зерсистемаҳои гуногуни ядро патчҳо мефиристад. Масалан, ронандагони radeon ва nouveau ба наздикӣ бо занг ба pm_runtime_put_autosuspend(dev->dev) дар блоки хато тағйирот қабул карданд, ки эҳтимолан буферро пас аз озод кардани хотираи марбут ба он истифода бурданд.
Иловаи 2: Грег 190 ӯҳдадориҳои марбут ба "@umn.edu" -ро баргардонд ва баррасии дубораи онҳоро оғоз кард. Мушкилот дар он аст, ки аъзоёни дорои суроғаҳои "@umn.edu" на танҳо бо пахш кардани часбҳои шубҳанок озмоиш кардаанд, балки осебпазириҳои воқеиро ислоҳ кардаанд ва баргардонидани тағирот метавонад боиси баргардонидани масъалаҳои амниятии қаблан часпонидашуда гардад. Баъзе нигоҳдорон аллакай тағироти баргардонидашударо дубора санҷидаанд ва ҳеҷ мушкиле наёфтанд, аммо яке аз нигоҳдорон нишон дод, ки яке аз часпакҳои ба ӯ фиристодашуда хатогӣ дорад.
Манбаъ: opennet.ru