Desenvolvedor Red Hat questiona correções no Linux Kernel sem CVE

IBM adquire a Red Hat por US$ 34 bilhões
IBM adquire a Red Hat por US$ 34 bilhões

O desenvolvedor da Red Hat questionou o motivo pelo qual as falhas de seguranças em Linux Kernels antigos, estão sendo corrigidos sem nenhum CVE, relatório ou até mesmo avisos. Estes kernels citados são justamente o que seguem o modelo LTS (Longo tempo de suporte), no entanto foi apurado pelo desenvolvedor Wade Mealing que Kroah Hartman um dos desenvolvedores mais importantes do Linux Kernel, estava aplicando as correções sem nenhuma documentação onde estivesse claro o que estava sendo aplicado.

Kroah Hartman por sua vez, questionou ao desenvolvedor Red Hat Wade, o motivo pelo o qual ele estava fazendo este questionamento, e o dev disse que essa falha estraga o sistema, é fácil para o usuário fazer isso, e informou também que a mesma falha causou problemas nos servidores da Red Hat durante testes.

Não muito feliz com a resposta vinda do desenvolvedor da Red Hat, que é justamente uma das maiores empresas que focam no controle de qualidade de seus softwares, Kroah-Hartman questiona a ele se todos os erros encontrados pelo Syzbot, que é uma ferramenta Google que gera relatórios automáticos de bugs, deve ter em todos os bugs encontrados um relatório CVEs vinculado.

E a novela não parou, o desenvolvedor disse que seria muito mais pratico que quando os patches fossem aplicados, o CVE de cada patche fosse informado, em especial os que são considerados relevantes. E não parou por aí.

Se o RHEL (Red Hat Enterprise Linux) não está exposto, por que a Red Hat se preocupa com isso? Quem se importa com isso? Qualquer um que execute um kernel 4.14.y já consertou isso há muito tempo, e qualquer um que não esteja executando um 4.14 .y kernel não é afetado, disse Kroah Hartman.

Mealing, em resposta, apontou que a Red Hat enviou um kernel alternativo para algumas arquiteturas baseadas no kernel mainstream 4.14.

Essas versões mais antigas, no entanto, são algo que alguns usuários se importam. Eu acho que é pior se eu ignorar silenciosamente um DoS local. Os mantenedores da Upstream podem não ter qualquer obrigação ou interesse em fazer o trabalho para solicitar e classificar isso, mas é o meu trabalho. disse Wade Mealing

Kroah Hartman deve ter algum problema para criar documentação, há algum tempo atrás, vários sites ao redor do mundo pediram muitas vezes um relatório sobre uma violação de 2011 dos servidores do projeto Linux, mas a todos ele prometeu que ia fazer e nunca entregou, até hoje ninguém sabe ao certo como se deu essa violação. Estamos numa era de muitos problemas com códigos maliciosos e muita gente se aproveitando destas falhas.

Ao mesmo tempo, quando uma relatório é entregue, os desenvolvedores podem ter noção do que foi corrigido e o que ainda está pendente, a ausência dessas informações podem com toda certeza, atrapalhar o desenvolvimento nas empresas que possuem esse foco como a Red Hat, SUSE e muitas outras. Eles podem até mesmo empregar esforços para corrigir algo atoa, e quando observarem gastaram tempo que foi corrigido mas não foi documentado. Esperamos que isso seja resolvido, e que os relatórios possam ser sempre gerados, evitando desgastes e tempo perdido. Se você quer mais informações sobre essa discussão, pode conferir na lista pública onde tudo começou.

Emanuel Negromonte Autor
Autor
Jornalista especialista em Linux a mais de 20 anos. Fundador do SempreUpdate e entusiasta do software livre.