| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5092
Ratio: 25.179
Поблагодарили: 13237
100%
|
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, принял решение запретить приём в ядро Linux любых изменений, поступающих из Университета Миннесоты, а также откатить все ранее принятые патчи и провести их повторное рецензирование. Причиной блокировки стала деятельность исследовательской группы, изучающей возможность продвижения скрытых уязвимостей в код открытых проектов. Указанная группа отправляла патчи, включающие различного рода ошибки, наблюдала за реакцией сообщества и изучала пути обмана процесса рецензирования изменений. По мнению Грега проведение подобных экспериментов по внедрению вредоносных изменений является неприемлемым и неэтичным.
Поводом блокировки послужила отправка участниками данной группы патча, который добавлял проверку указателя для исключения возможного двойного вызова функции "free". С учётом контекста использования указателя проверка была бессмысленна. Целью отправки патча было изучение того, пройдёт ли ошибочное изменение рецензирование разработчиками ядра. Кроме указанного патча всплыли и другие попытки разработчиков из Университета Миннесоты внести сомнительные изменения в ядро, в том числе связанные с добавлением скрытых уязвимостей.
Отправивший патчи участник попытался оправдаться тем, что испытывает новый статический анализатор и изменение подготовлено на основе результатов проверки в нём. Но Грег обратил внимание на то, что предложенные исправления не характерны для ошибок, выявляемых статическими анализаторами, и присланные патчи ничего не исправляют. C учётом того, что рассматриваемая группа исследователей уже пыталась в прошлом продвигать исправления со скрытыми уязвимостями, очевидно, что они продолжили свои эксперименты над сообществом разработчиков ядра.
Интересно, что в прошлом руководитель проводящей эксперименты группы принимал участие в легитимном исправлении уязвимостей, например, выявил утечки информации в USB-стеке (CVE-2016-4482) и сетевой подсистеме (CVE-2016-4485). В исследовании скрытого продвижения уязвимостей группа из Университета Миннесоты приводит пример уязвимости CVE-2019-12819, вызванной исправлением, принятым в ядро в 2014 году. Исправление добавляло в блок обработки ошибки в mdio_bus вызов put_device, но спустя пять лет всплыло, что подобная манипуляция приводит к обращению к блоку памяти после его освобождения ("use-after-free").
При этом авторы исследования утверждают, что в своей работе они обобщили данные о 138 патчах, вносящих ошибки, но не связанных с участниками исследования. Попытки же отправки собственных патчей с ошибками ограничивались email-перепиской, и подобные изменения не достигли стадии Git-коммита в какую-либо ветку ядра (если после отправки патча по email мэйнтейнер считал патч нормальным, то его просили не включать изменение так как там ошибка, после чего присылали правильный патч).
Дополнение 1: Судя по активности автора раскритикованного исправления он уже давно отправляет патчи в различные подсистемы ядра. Например, в драйверы radeon и nouveau недавно были приняты изменения с вызовом pm_runtime_put_autosuspend(dev->dev) в блоке ошибки, не исключено, что приводящему к использованию буфера после освобождения связанной с ним памяти.
Дополнение 2: Грег откатил 190 коммитов, связанных с адресами "@umn.edu" и инициировал их повторное рецензирование. Проблема в том, что участники с адресами "@umn.edu" не только экспериментировали с продвижением сомнительных патчей, но и устраняли реальные уязвимости, и откат изменений может привести к возвращению ранее исправленных проблем с безопасностью. Некоторые мэйнтейнеры уже перепроверили отменённые изменения и не нашли проблем, но нашлись также патчи с ошибками.
Дополнение 3: Руководство факультета компьютерных наук Университета Миннесоты опубликовало заявление, в котором объявило о приостановке исследований в данном направлении, инициировании проверки корректности используемых методов и проведении разбирательства того, как подобное исследование было одобрено. Отчёт с результатами будет передан сообществу.
OpenNet | Twitter |
_________________
«Если ты ненавидишь, значит тебя победили» – Конфуций
|
|
 |
fuddled
Стаж: 5 лет 8 мес.
Сообщений: 71
Ratio: 0.036
0.33%
|
Нифига не понял, но очень интересно. |
|
|
|
|
ambystoma
Стаж: 10 лет 4 мес.
Сообщений: 2051
Ratio: 3654.589
100%
|
Ждем заявление руководства Университета Миннесоты об обнаружении Петрова и Боширова в списках сотрудников университета. |
|
|
|
|
SLYNN
Стаж: 3 года 8 мес.
Сообщений: 216
Ratio: 98.771
Раздал: 12.01 TB
100%
|
Какая уникальная возможность покритиковать открытую разработку ядра! Прямо праздник для всех ненавистников Linux и GNU/Linux. |
_________________ По возможности используйте ПО с открытым исходным кодом. Почти всегда есть альтернатива проприетарному ПО!
|
|
|
|
Tolstik7
Стаж: 9 лет 9 мес.
Сообщений: 657
Ratio: 2.529
23.56%
|
Ветка  Пора уже думать кругами  Я круг, а круг - это я  |
|
|
|
|
Ar0visTM
Стаж: 11 лет 2 мес.
Сообщений: 577
Ratio: 19.519
20.37%
|
SLYNN писал(а):  | Какая уникальная возможность покритиковать открытую разработку ядра! Прямо праздник для всех ненавистников Linux и GNU/Linux. |
У вас тут каждый раз критикуют винду. Можно и разбавить этот цирк |
|
|
|
|
IcedEarth
Стаж: 14 лет 4 мес.
Сообщений: 344
Ratio: 1.809
Раздал: 2.664 TB
13.97%
|
| SLYNN писал(а): | Какая уникальная возможность покритиковать открытую разработку ядра! Прямо праздник для всех ненавистников Linux и GNU/Linux. |
Красные зыркала пингвинофилов способны прочесть только белое на черном, но не черное на белом... |
|
|
|
|
Ehduard
Стаж: 13 лет 10 мес.
Сообщений: 1035
Ratio: 63.54
100%
|
| SLYNN писал(а): | Какая уникальная возможность покритиковать открытую разработку ядра! Прямо праздник для всех ненавистников Linux и GNU/Linux. |
Мне думается, что вера в существование "ненавистников Linux и GNU/Linux" существует только в чьих то головах, ибо неизвестны и непонятны причины и мотивы для существования реальных таких личностей в количествах, достойных упоминания. ps. срачь о сталкивании лбами - всего лишь способ развлечения бездельников.  А новость - как раз повод похвалить разработчиков и восхититься как поставлен процесс. И повод поглумиться над хитро_опыми. |
_________________ нам чужого не надо  |
|
|
|
BMW_X6
Стаж: 14 лет 3 мес.
Сообщений: 831
Ratio: 524.515
Раздал: 17.57 TB
7.59%
Откуда: C:\WINDOWS\system32
|
Вот так бы в Windows было - лепят с багами ошибками, заподозрили, проверили, сразу настучали по голове и сделали откат. То есть, рецензировать изменения. Смотри и было бы приятно пользоваться десяткой, если бы не втюхивали всякие баги, как они это умеют делать.
А то сколько раз заходил на nnm - всегда на главной новость о каком то баге в очередном обновлении Windows 10. |
|
|
|
|
fontan16
Стаж: 8 лет 3 мес.
Сообщений: 1192
Ratio: 4.101
24.18%
Откуда: Бостон
|
| fuddled писал(а): | Нифига не понял, но очень интересно. |
Как я понял, группа товарищей из унивеситета Миннесоты, специально всавляет в ядро Линукса намеренные ошибки и смотрят на реакцию от др. групп, которые инспектируют изменения. Например, поняли ли они, что код содержит погрешности или нет. Здесь не удтверждается, что это бэкдор, скорее бессмысленные строчки. Например: порверка если а=100 делается несколько раз, следуя одна за другим. Достаточно проверить лишь раз, остальные бессмысленные, хотя и вреда от них нет кроме бессмысленных действий. Зачем они это делали - не понятно. Видимо, хотят понять насколько глубоко и внимательно изменения инспектируются др. группами. Возможно, зондируют почву на предмет внедрения шпионских модулей в Open Source Линукса. |
|
|
|
|
sciensys
Олигарх+
Стаж: 13 лет 9 мес.
Сообщений: 1325
Ratio: 92.184
Раздал: 167.1 TB
100%
|
| fontan16 писал(а): | Возможно, зондируют почву на предмет внедрения шпионских модулей в Open Source Линукса. |
а почему "Возможно" ??? уже пошла тенденция оттеснения linux с фронта. сейчас возможно разумнее ставить его за файером, с хорошо настроенным своим файером, а то и в добавок за 2ым НАТом. "тем больше натягивать трусов на зад, тем меньше вероятность, что их порвут под давлением.." или "мало трусов на заду никогда не бывает, всегда найдётся опытный умелец поиметь Вас..." |
|
|
|
|
LORDNEC
Стаж: 13 лет 2 мес.
Сообщений: 247
Ratio: 44.45
Раздал: 3.504 TB
27.95%
|
| Ehduard писал(а): | | SLYNN писал(а): | Какая уникальная возможность покритиковать открытую разработку ядра! Прямо праздник для всех ненавистников Linux и GNU/Linux. |
Мне думается, что вера в существование "ненавистников Linux и GNU/Linux" существует только в чьих то головах, ибо неизвестны и непонятны причины и мотивы для существования реальных таких личностей в количествах, достойных упоминания. ps. срачь о сталкивании лбами - всего лишь способ развлечения бездельников. А новость - как раз повод похвалить разработчиков и восхититься как поставлен процесс. И повод поглумиться над хитро_опыми. |
 Лично я в этой новости узнал немного о том,как делают Линукс нынче.  А этот и правда живет в вымышленном мире ненавистников некоторых операционных систем. |
_________________
Всеобщая декларация прав человека, статья 19:
"Каждый человек имеет право на свободу убеждений и на свободное выражение их; это право включает свободу беспрепятственно придерживаться своих убеждений и свободу искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ."
|
|
|
|
SLYNN
Стаж: 3 года 8 мес.
Сообщений: 216
Ratio: 98.771
Раздал: 12.01 TB
100%
|
| LORDNEC писал(а): | А этот и правда живет в вымышленном мире ненавистников некоторых операционных систем. |
А некий LORDNEC действительно думает, что это было написано всерьез. |
_________________ По возможности используйте ПО с открытым исходным кодом. Почти всегда есть альтернатива проприетарному ПО!
|
|
|
|
Календарь
Стаж: 14 лет
Сообщений: 2095
Ratio: 17.548
Поблагодарили: 50961
100%
|
предвестник ухода linux в проприетарщину? |
|
|
|
|
Ehduard
Стаж: 13 лет 10 мес.
Сообщений: 1035
Ratio: 63.54
100%
|
Ну вот всё и выяснилось: провоцируют от скуки, а скука - она от безделья... Кто-то просто "зажрался".  |
_________________ нам чужого не надо |
|
|
|
|
|
