Re: [新聞] 把漏洞導入Linux核心來作實驗,Linux大
※ 引述《zhtw (/* 2021 臺灣獨立! */)》之銘言:
: 搞事的是 Aditya Pakki (印度仔)
: 他提交了沒有用的垃圾程式碼給 Linux 專案被發現
: 還發文幫自己辯解,說自己是無辜的。
: Linux 大佬 Greg KH 暴怒回覆
: 「任何有C 語言知識的人,只要花幾分鐘就能看出你提交的檔案根本沒有任何作用」
Aditya Pakki這個patch是針對net子系統的
他說是為了要避免doubly free啦(已free的addr可能被拿去其它用途,再free可能出錯)
寫了一個if判斷gss_msg是不是NULL(在C語言裡,Null會被視為false)
但從code整體來看,這狀況是不可能發生的,
因此他送的這個patch是多此一舉.
--- a/net/sunrpc/auth_gss/auth_gss.c
+++ b/net/sunrpc/auth_gss/auth_gss.c
@@ -848,7 +848,8 @@ gss_pipe_destroy_msg(struct rpc_pipe_msg *msg)
warn_gssd();
gss_release_msg(gss_msg);
}
- gss_release_msg(gss_msg);
+ if (gss_msg)
+ gss_release_msg(gss_msg);
}
static void gss_pipe_dentry_destroy(struct dentry *dir,
其實我覺得依照Linus定律來講:
「足夠多的眼睛,就可讓所有問題浮現」
(given enough eyeballs, all bugs are shallow)」
雖然有部份人接受了他們的patch,
他們這種行為長期來講,還是會被發現的.
: Greg KH 認為這也是學校漏洞實驗的一部分
: 最後撤回了所有明尼蘇達大學提供的程式碼
: 雖然兩次事件都對 Linux 沒有特別大的危害,第一次甚至沒有合併回專案
: 但這消耗了 Linux 對明尼蘇達大學的信任,所以他們乾脆直接把學校 Ban 掉了
: 這事件有兩個比較重要的點
Ref:
https://lore.kernel.org/linux-nfs/20210407001658.2208535-1-pakki001@umn.edu/
--
你的行動或許沒有意義,但你還是非做不可。
這不是為了改變世界,而是為了讓你成為不會被世界改變的那個人.
– 甘地(Mahatma Gandhi)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.137.233.206 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1619180905.A.BB0.html
※ 編輯: HowLeeHi (220.137.233.206 臺灣), 04/23/2021 20:38:30
※ 編輯: HowLeeHi (220.137.233.206 臺灣), 04/23/2021 20:42:02
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 7 之 7 篇):