Abszolút offtopic ez most egyébként az eredeti téma szempontjából, de azért leírom az én véleményemet a történetről:
- "Unfortunately, it often reports false positives, and such reports crash all or part of your kernel"
Először is tudnia kellene, hogy hogyan működik és hogyan érdemes használnia ezt a size overflow plugint. Ezért van minden dokumentálva és ezért nem javasolja a csapat éles használatra ezt a plugint (legalábbis rizikóanalízis nélkül), mert ilyen fals pozitív hibákat előidézhet. Ezt aki érti és foglalkozik a témával az tudja. A srác viszont láthatólag nem foglalkozott vele, ellenben teleharsogta vele a twittert és a sajtót, hogy ő most mekkora biztonsági hibát talált.
Ha utána olvasott volna, akor tudott volna pl. arról is, hogy egyébként létezik egy pax_size_overflow_report_only opció, amely kizárólag loggolja a detektált hibákat és nem küldi panicba a rendszert. Lásd még Linux kernel alapbeállításai között is található panic_on_oops sysctl, amelyel szabályozható, hogy kernel által detektált problémák esetén próbáljon helyreállni a kernel, vagy mindenképp panicoljon. Ezek szabályozása az üzemeltetők feladata, ahogy az ő döntésüktől függ az is, hogy milyen komponenseket használnak fel a grsec patchből éles környezetben.
- "actually introduced a real integer underflow bug, that was caught by the compiler plugin"
A "real integer underflow bug" kifejezés megint félreérthető és remekül lehet vele manipulálni a felületes olvasókat, ahogy az előző kijelentésével is. A valóságban az előidézett integer alulcsordulásnak semmiféle biztonsági vonzata nem keletkezett (kb. annyi történt, hogy ennek következtében nem beepelt a tty amikor megtelt, vagy valami hasonló nem kritikus probléma). A size overflow plugin azonban pont az ilyen alul- és felülcsordulásokra készült és az ilyen jellegű problémák felderítésére alkalmas. Ezek a túlcsordulások azonban ahogy az előbb is írtam nem feltétlenül jelentenek valódi biztonsági problémát, ezért a szakértők általi felülvizsgálatra szorulnak. A plugin azonban nem tudja eldönteni, hogy az a csordulás biztonsági probléma vagy sem, ezért hívja meg a kernel panicot a hiba környezetének loggolása után (vagy csak loggolja és fut tovább, amennyiben a pax_size_overflow_report_only opció van használatban).
Lényegében a plugin jól vizsgázott és rendesen lenaplózta az egyébként fals pozitív hibát. Mivel a srác nem ért hozzá és ész nélkül bekapcsolgatott mindent a saját kernel konfigjában, ezért ő ezt DoS támadásnak vette, mert a size overflow plugin nála szépen kernel panicot hívott, amikor detektálta a csordulást. Ezt hívja ő folyamatosan, de tévesen "crash"-nek, pedig itt egy szabályos függvényhívás történik, teljesen stabil környezetben és kontextusban...
Alapvetően, az zavar, hogy false pozitív hibából valósat csináltak, nem is kicsit.
Ahogy az előbb leírtam, valódi biztonsági hiba nem keletkezett. A srác rosszul értelmezte a kódot, de cserébe teleharsogta vele a médiát. A korábbi posztomban linkelt fórum bejegyzésben PaXTeam elmagyarázta részletesen neki, hogy hol tévedett és miért nincs igaza, de ezzel már nem foglalkozott. Egyértelműen szenzációkeltés volt a srác érdeke.
https://forums.grsecurity.net/viewtopic.php?t=4342&p=16222#p16224
Ha profi csapat képét akarják mutatni, akkor nem bannolunk, meg kitiltjuk az illetőt, hanem küldünk neki egy láda sört
Ez így van. Azonban amikor azt látod, hogy többszöri elmagyarázás után is csak a FUD keltés megy és a trollkodás, akkor hamar rájössz, hogy nem tudsz jó képet vágni a dologhoz.
Én akárhányszor jelentettem hibát náluk, azt mindig korrekten kezelték és a changelogban is megemlítettek, mint hibabejelentőt, vagy patch beküldőt. Sose tiltottak ki, ahogy több száz más hibabejelentőt sem. Egyedül ezt a srácot. Vajon miért?
Ahogy mások is megjegyezték a twitteren, a srác a szenzációkeltésével sikeresen elérte, hogy több száz like és retweetje legyen, miközben azzal nem foglalkozott, hogy az adott funkció kifejezetten nem javasolt éles használatra rizikóanalízis nélkül.
Miután spender megunta a trollkodást és kibanolta, utána pedig eljátszotta hipokrita módon azt, hogy ő nem gondolta, hogy ekkora balhé lesz belőle, hogy még bulvárhírt is kreálnak róla. Nem ő felelős, ő csupán egy ártatlan hibabejelentő!
Egyébként ettól függetlenül is az a véleményem, hogy undorító ez a twitterező és facebookozó társadalom. Az embereket like-vadász, szenzációkereső, álszent és képmutató bulvárgyárakká alacsonyítja. Sokan mindent megtesznek azért, hogy egyel több like és retweet érkezzen a szaros írásaikra, függetlenül attól, hogy mennyi azoknak a valódi értékük vagy igazságtartalmuk.
Persze mit várunk abban a korban, ahol teljesítmény nélküli hírességek ("celebek") akasztják le a legtöbb követőt és rajongót...