Исследователи извиняются за свои исследования

Ясно, в статье все ложь, не стоит обращать внимание.

не всё - там есть пример реального CVE с UAF но его нашёл KASAN еще в 2019 и это такой CVE что хрен им воспользуешься

А они значит должны были отправлять реальные бомбы, которыми можно воспользоваться. Спасибо, что разъясняете их ошибки.

А они значит должны были отправлять реальные бомбы

не должны но отправляли, только бомбы не дошли, но на весь мир растрезвонили что только благодаря им не произошло страшное несчастье, вот такие герои - можешь сосать им теперь пожизненно в знак благодарности

не должны но отправляли, только бомбы не дошли, но на весь мир растрезвонили что только благодаря им не произошло страшное несчастье, вот такие герои - можешь сосать им теперь пожизненно в знак благодарности

благодаря им либо перестанут принимать патчи от джеймсовбондов, либо начнут качественнее проверять присылаемое - чтобы в ядро не попадал хлам или опасный продукт

Всё останется как было, по физиономии шпика не определишь, на проверку патчей нужны квалифицированные люди и деньги для их найма.

Единственно что другие институты будут больше опасаться проведения всяких экспериментов.

Опасаться надо не экспериментов, а того, что присылают по-настоящему опасные штуки

на проверку патчей нужны квалифицированные люди и деньги для их найма.

нет людей и денег - нет безопасности

Нет, с теми людьми что есть безопасность вполне достижима и делается она за счёт того, что из проекта исключают людей с подорваной репутацией или просто замусоривающих процесс разработки.

И в любом случае, разработка линукса ведётся частными лицами и в частных репозитариях, кто не согласен может сделать свой репозитарий и сам принимать в него патчи так как посчитает это нужным делать.

И раз никто этого не делает значит это не очень то и нужно.

нет людей и денег - нет безопасности

Языком чесать - все умные. Что ты тут сидишь, я не понял? Беги, пропихивай патч в апстрим доказывай, что нет безопасности. Там же никто ничего не смотрит, ни у кого денег нет. Исследователи просто так свои жопы подставили думаешь? Давай. Ждём от тебя массовых взломов амазона.

Нет, с теми людьми что есть безопасность вполне достижима и делается она за счёт того, что из проекта исключают людей с подорваной репутацией или просто замусоривающих процесс разработки.

и поэтому в проекте остаются лишь люди с кристально чистой репутацией. другие туда ничего не присылают

Языком чесать - все умные. Что ты тут сидишь, я не понял? Беги, пропихивай патч в апстрим доказывай, что нет безопасности. Там же никто ничего не смотрит, ни у кого денег нет. Исследователи просто так свои жопы подставили думаешь?

Огласите свою версию - зачем исследователи подставили жопы?

Ждём от тебя массовых взломов амазона.

От меня? Вы не перегрелись, часом?

и поэтому в проекте остаются лишь люди с кристально чистой репутацией. другие туда ничего не присылают

И это хорошо.

Совет нечестивых будь далек от меня!

Блажен муж, который не ходит на совет нечестивых и не стоит на пути грешных и не сидит в собрании развратителей,

И это хорошо.

главное - верьте

На ЛОРе уже определились достигли их говнопатчи прода или нет?

по-моему кроме меня на лоре это никого не волновало. вроде бы нет. но я в общем тоже уже не слишком поддерживаю это все.

Критическая инфраструктура находится за air gapом, а оставшееся, что падко на бесплатные оси, которые кстати не гарантируют в лицензии пользования 100% безопасность, и торчит всеми портами в сеть - это безделушки на хайпе и ссзб.

Огласите свою версию - зачем исследователи подставили жопы?

Чтобы ты занялся делом, пошел, протолкнул говнопатч в прод и этим эпично затролил весь ЛОР. Тут один анон успешно подбирал в npm пароли разрабов брутом из топ 100 паролей 2к19. У тебя тоже всё получится, давай, за дело, нечего тут языком чесать.

Чтобы ты занялся делом, пошел, протолкнул говнопатч в прод и этим эпично затролил весь ЛОР

вы бредите? какие-то странные у вас потребности

какие-то странные у вас потребности

Нормальные потребности. Так ты только языком чешешь, а так бы делом доказал.

а так бы делом доказал.

вам? зачем это вам нужно?

Чтобы были твёрдые доказательства дырявости, а не очередная трепотня, для чего же еще?

главное - верьте

смех в том что верующий ты - тебе говно на лопате без пруфов подсунули а ты нахлебался даже не прочитав. То что в ядре уязвимости могут быть это и так известно - кому нужно меры придпринимают чтобы смягчить последствия от возможных уязвимостей

Статью вы значит так и не прочитали

Статью вы значит так и не прочитали

цитаты приведи с тексом уязвимых патчей которые заслали они или ссылки на них

Вы даже содержания статьи не знаете, а все текст патчей ищете.

Вы даже содержания статьи не знаете, а все текст патчей ищете

может перестанешь идиотом прикидываться - в статье вместо патчей псевдокод, чувак нашёл очень похожие и по времени и по содержанию на то что они описывали и все они не прошли ревью

https://lore.kernel.org/lkml/YIEqt8iAPVq8sG t@sol.localdomain/

а здесь говорят, что прошли )

https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/

а здесь говорят, что прошли

прошли говнопатчи с реального аккаунта

From: Aditya Pakki <pakki001@umn.edu>

I took a look on 4
accepted patches from Aditya and 3 of them added various severity security

в статье они явно указали что уязвимые патчи засылали с фейковых адресов

Thethree cases represent three different kinds of hypocrite commits:(1) a coding-improvement change that simply prints an error message, (2) a patch for fixing a memory-leak bug, and (3) a patch for fixing a refcount bug. We submit the three patches using a random Gmail account to the Linux community and seek their feedback—whether the patches look good to them

в извинении говорят что ни один уязвимый патч не дошел до дерева исходников - эти клоуны даже не знали что назасылали говнопачей с ошибками с реального аккаунта потому что ламеры - нельзя просто так придти со стороны и начинать патчить не разбравшись а что вообще этот код делает

прошли говнопатчи с реального аккаунта

да какая разница, откуда они прошли. говнопатчи прошли - все.

да какая разница, откуда они прошли

для тебя очевидно никакой разницы - 3 из 200 или 3 из 4

А теперь есть статистический результат - вероятность принятия вредоноса выше 50 процентов
из чего ты сделал такой вывод ?
из их статьи

Исследователи извиняются за свои исследования (комментарий)

главное говнеца поесть :)

для тебя очевидно никакой разницы - 3 из 200 или 3 из 4

3 из 4 - 75%

главное говнеца поесть :)

статью вы значит так и не прочитали или не поняли

статью вы значит так и не прочитали

да прочитал я её и всё понял в отличии от тебя - ей можно подтереться, а ты кушать начал :)

вам прямым текстом на кернеле пишут, что говнопатчи прошли, а вы только себя слышите, куда уж тут надеяться, что вы статью прочтете.

We submit the three patches using a random Gmail account

accepted patches from Aditya
Aditya Pakki <pakki001@umn.edu>

где ты тут увидел gmail ? счас все патчи с уязвимостями будешь считать что они из статьи и проценты считать ?

о чем вы вообще, я разве что-нибудь говорил про gmail?

я разве что-нибудь говорил про gmail?

а ты тут при чём - ты чтоли статью написал

еще раз - вам люди с кернела сами подтверждают, что говнопатчи прошли, а вы какой-то фигней маетесь - «а вот с этого адреса не прошли», «а вот это с не гмэйл почты писали»

люди с кернела сами подтверждают, что говнопатчи прошли

там много говнопатчей но как они связаны с опубликованной статьёй ? ты написал что проценты посчитал на основании статьи

Исследователи извиняются за свои исследования (комментарий)

патчи из статьи не прошли ревью - их в принципе нет в ядре

да вы статью наконец прочитайте, о чем она вообще

да вы статью наконец прочитайте, о чем она вообще

так о чём же она вообще на ваш вкус ?

Вот тебе для старта

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/drive...

	if (!dev) {
		dev_err(dev, "unable to find platform device for %pOF\n", node);
		goto out;
	}

результат говнокода когда что-то пошло не так

Драйвера (комментарий)

беги скорей статью писать - прославишься крутым исследователем уязвимостей.

Вам видимо кажется, что если цепляться к коду, к почтовому адресу отправителей, то это изменит суть - в ядре оказались одобренные, но непроверенные говнопатчи. Попробуйте еще покопаться в прошлом авторов статьи, возможно вы обнаружите, что у кого-нибудь из них бабушка вышла замуж за родственника. Это должно помочь не обращать внимания на происшедшее