گریگ کروہ-ہارٹ مین، مستحکم کرنل برانچ کا دیکھ بھال کرنے والا Linux، کور میں داخلے پر پابندی لگانے کا فیصلہ کیا۔ Linux یونیورسٹی آف مینیسوٹا کی طرف سے آنے والی کوئی بھی تبدیلی، نیز پہلے سے قبول شدہ تمام پیچز کو رول بیک کریں اور ان کا دوبارہ جائزہ لیں۔ بلاکنگ ایک تحقیقی گروپ کی سرگرمیوں کی وجہ سے ہوئی جو اوپن سورس پروجیکٹس کے کوڈ میں پوشیدہ کمزوریوں کو متعارف کرانے کے امکان کا مطالعہ کر رہی تھی۔ اس گروپ نے مختلف خامیوں پر مشتمل پیچ جمع کرائے، کمیونٹی کے ردعمل کی نگرانی کی، اور جائزہ لینے کے عمل کو روکنے کے طریقے تلاش کیے گئے۔ گریگ کی رائے میں، بدنیتی پر مبنی تبدیلیاں متعارف کرانے کے لیے ایسے تجربات کرنا ناقابل قبول اور غیر اخلاقی ہے۔
اس گروپ کو بلاک کر دیا گیا جب اس گروپ کے ممبران نے ایک پیچ جمع کرایا جس میں "مفت" فنکشن میں ممکنہ ڈبل کال کو روکنے کے لیے پوائنٹر چیک شامل کیا گیا۔ پوائنٹر کے استعمال کے تناظر کو دیکھتے ہوئے، چیک بے معنی تھا۔ پیچ کو جمع کرانے کا مقصد یہ جانچنا تھا کہ آیا غلط تبدیلی کرنل ڈویلپرز کے جائزے کو پاس کرے گی۔ اس پیچ کے علاوہ، مینیسوٹا یونیورسٹی کے ڈویلپرز کی جانب سے دانا میں قابل اعتراض تبدیلیاں متعارف کرانے کی دیگر کوششیں منظر عام پر آئی ہیں، جن میں چھپی ہوئی کمزوریوں کا تعارف شامل ہے۔
پیچ جمع کرنے والے شخص نے یہ دعویٰ کرکے خود کو درست ثابت کرنے کی کوشش کی کہ وہ ایک نئے جامد تجزیہ کار کی جانچ کر رہے ہیں اور یہ کہ تبدیلی اس کے نتائج پر مبنی ہے۔ تاہم، گریگ نے نشاندہی کی کہ مجوزہ اصلاحات جامد تجزیہ کاروں کے ذریعے پائے جانے والے کیڑے کی مخصوص نہیں تھیں، اور تمام جمع کرائے گئے پیچ نے کچھ بھی ٹھیک نہیں کیا۔ اس بات پر غور کرتے ہوئے کہ زیربحث تحقیقاتی ٹیم نے پہلے چھپی ہوئی کمزوریوں کے لیے پیچ کو آگے بڑھانے کی کوشش کی تھی، یہ واضح ہے کہ وہ کرنل ڈیولپمنٹ کمیونٹی پر اپنے تجربات جاری رکھے ہوئے تھے۔
دلچسپ بات یہ ہے کہ تجربات کرنے والے گروپ کے لیڈر نے پہلے جائز کمزوری پیچنگ میں حصہ لیا تھا، مثال کے طور پر، USB اسٹیک (CVE-2016-4482) اور نیٹ ورک سب سسٹم (CVE-2016-4485) میں معلومات کے لیک ہونے کی نشاندہی کرکے۔ خفیہ خطرے کے فروغ کے اپنے مطالعے میں، مینیسوٹا یونیورسٹی کی ٹیم نے 2014 میں کرنل میں قبول کیے گئے پیچ کی وجہ سے ہونے والی کمزوری CVE-2019-12819 کی مثال دی۔ بلاک
مطالعہ کے مصنفین کا دعوی ہے کہ ان کے کام نے 138 بگ متعارف کرانے والے پیچ پر ڈیٹا کا خلاصہ کیا جو مطالعہ کے شرکاء سے غیر متعلق ہے۔ اپنی چھوٹی چھوٹی پیچ جمع کرانے کی کوششیں ای میل کے خط و کتابت تک ہی محدود تھیں، اور اس طرح کی تبدیلیاں گٹ میں شامل نہیں تھیں (اگر، ای میل کے ذریعے پیچ بھیجنے کے بعد، دیکھ بھال کرنے والے نے پیچ کو درست سمجھا، تو ان سے کہا گیا کہ وہ تبدیلی شامل نہ کریں کیونکہ اس میں ایک خرابی تھی، جس کے بعد انہیں درست پیچ بھیجا گیا تھا)۔
ضمیمہ 1: تنقید شدہ فکس کے مصنف کی سرگرمی کو دیکھتے ہوئے، وہ ایک طویل عرصے سے مختلف کرنل سب سسٹمز میں پیچ جمع کر رہا ہے۔ مثال کے طور پر، Radeon اور Nouveau ڈرائیوروں نے حال ہی میں ایرر بلاک میں pm_runtime_put_autosuspend(dev->dev) کو کال کرنے والی تبدیلیاں اپنائی ہیں، جو ممکنہ طور پر اس سے وابستہ میموری کے آزاد ہونے کے بعد بفر کے استعمال کا باعث بنتی ہے۔
اپ ڈیٹ 2: گریگ نے "@umn.edu" پتوں سے وابستہ 190 کمٹوں کو واپس کر دیا اور ان کا دوبارہ جائزہ شروع کیا۔ مسئلہ یہ ہے کہ "@umn.edu" ایڈریس کے ساتھ تعاون کرنے والے نہ صرف قابل اعتراض پیچ کو آگے بڑھانے کے ساتھ تجربہ کر رہے تھے بلکہ حقیقی کمزوریوں کو بھی ٹھیک کر رہے تھے، اور تبدیلیوں کو واپس کرنے سے پہلے طے شدہ سیکیورٹی مسائل کو دوبارہ متعارف کرایا جا سکتا ہے۔ کچھ دیکھ بھال کرنے والوں نے پہلے ہی تبدیل شدہ تبدیلیوں کا دوبارہ جائزہ لیا ہے اور انہیں کوئی مسئلہ نہیں ملا، لیکن ایک دیکھ بھال کرنے والے نے نشاندہی کی کہ اس کے پاس بھیجے گئے پیچ میں سے ایک میں غلطیاں تھیں۔
ماخذ: opennet.ru
