Уязвимость в демоне Systemd вызвала немалые споры у разработчиков Linux. Брешь заключается в том, что, получив команду debug среди команд ядра в /proc/cmdline, демон выдает слишком большой объем служебной информации, из-за чего система вообще не загружается. Примечательно то, что в процессе обсуждения бреши разработчики девять раз меняли статус уязвимости с «решенная» (RESOLVED), «не баг» (NOTABUG) на «заново открытая» (REOPENED).
Как пояснил один из разработчиков Systemd Кей Сиверс (Kay Sievers), выдача большого объема технической информации является нормальной функцией. Другой эксперт, Стивен Ростедт (Steven Rostedt), предложил исправление для ядра Linux, не допускающее появления команды debug в /proc/cmdline. То есть, оставить ее только для использования в ядре.
«Нам ПРИНАДЛЕЖИТ командная строка ядра, поэтому мы можем сделать так, чтобы пользователи не видели в ней некоторых вещей по нашему выбору», - написал Ростедт.
Это заявление стало последней каплей, переполнившей чашу терпения Линуса Торвальдса. Он написал гневное сообщение, обвиняя разработчиков, в частности Кея Сиверса, в том, что они не исправляют ошибок в своем коде, и их приходится обходить на уровне ядра. По словам Торвальдса, он отказывается принимать какой-либо патч от Сиверса, пока код не будет полностью очищен и перестанет вызывать бесконечные проблемы.
«Я не желаю принимать код от разработчика, который не заботится об уязвимостях и регрессиях, а потом заставляет людей из других проектов исправлять ошибки», - заявил создатель Linux, приправив свое сообщение крепкими выражениями.
Источник: securitylab
|