======== They introduce kernel bugs on purpose. Yesterday, I took a look on 4 accepted patches from Aditya and 3 of them added various severity security "holes".
" Sudip Mukherjee, Linux kernel driver and Debian developer, followed up and said "a lot of these have already reached the stable trees." These patches are now being removed.
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】 : 回到代码这块来。 : https://lore.kernel.org/linux-nfs/[email protected]/ : ======== : They introduce kernel bugs on purpose. Yesterday, I took a look on 4 : accepted patches from Aditya and 3 of them added various severity security: "holes". : Thanks : ======= : 这是Leon Romanovsky 昨天的email说的。 : 如果你对代码有评论,当然可以去email list评论。
@@ -665,7 +665,7 @@ static void rds_send_remove_from_sock(struct list_head *messages, int status)
unlock_and_drop:
spin_unlock_irqrestore(&rm->m_rs_lock, flags);
rds_message_put(rm);
- if (was_on_sock)
+ if (was_on_sock && rm)
rds_message_put(rm);
}
在那个地方判断rm==NULL没有任何意义。要么他们不懂指针自认为这是个bug fix要不
然就是在提交无效代码来耍reviewer
應該是寫了靜態分析器,自動生成的patch。一般來說這種東西需要自己review一下在
提交的。
【 在 heimuer (黑木耳) 的大作中提到: 】
: @@ -665,7 +665,7 @@ static void rds_send_remove_from_sock(struct list_head *
: messages, int status)
: unlock_and_drop:
: spin_unlock_irqrestore(&rm->m_rs_lock, flags);
: rds_message_put(rm);
: - if (was_on_sock)
: + if (was_on_sock && rm)
: rds_message_put(rm);
: }
: 在那个地方判断rm==NULL没有任何意义。要么他们不懂指针自认为这是个bug fix要不
~~~~~~~~~~~~~~~~~~~~~~~
就事論事,這件事情單看這部分病不說明肯定沒有意義。你看過rds_message_put(rm
)的代碼了?裏面確定沒有free?
: ...................
这个if null是0 harm吧。可能是工具产生的?
我理解的技术问题如下。
在第一轮提交中。按照作者所说:
1.其先提交了patch A,此patch有问题。
2.然后在到upstream之前,提交了patch B,fix了之前的问题。
3.作者认为此2 actions确保了不会造成任何harm。
但是有过项目经验,尤其是项目合作经验的人就知道,这两条无法确保没有harm的。
至少你要follow up。不是说你写个clarify paper就保证了没有harm。
首先你不是kernel.org组的人的老板。第二就算你是他们的老板,安排活干完后也要测试,
确认等各种麻烦。不是嘴说认为这样不会harm,就一定不会harm。
从Engineering Robust的角度来讲。GH一次搞定这些事,避免了深入各种无厘头细节,省事省工作量,不能算错。
那么现在的实际情况是,没人知道这些patch到哪了。是否对谁会有实际harm实际上是
不知道的。
因为据说到了stable release (我看到有人说的,没有确认)。
【 在 heimuer (黑木耳) 的大作中提到: 】
: @@ -665,7 +665,7 @@ static void rds_send_remove_from_sock(struct list_head *
: messages, int status)
: unlock_and_drop:
: spin_unlock_irqrestore(&rm->m_rs_lock, flags);
: rds_message_put(rm);
: - if (was_on_sock)
: + if (was_on_sock && rm)
: rds_message_put(rm);
: }
: 在那个地方判断rm==NULL没有任何意义。要么他们不懂指针自认为这是个bug fix要不
: ...................
他這一堆patch有些的確是fix,雖然都是些小毛病。有些就是沒事找事。進了stable的我看了一下,一般的確是fix。
不過都不重要,重要的是他們得罪了maintainer,現在就是要搞他們表示態度。
不過,何必呢,既然不對付,浪費時間幹什麼,說來說去,一邊想繼續賴着發電paper,
一邊要維持自己project model的形象,都挺沒勁的。
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: 这个if null是0 harm吧。可能是工具产生的?
: 我理解的技术问题如下。
: 在第一轮提交中。按照作者所说:
: 1.其先提交了patch A,此patch有问题。
: 2.然后在到upstream之前,提交了patch B,fix了之前的问题。
: 3.作者认为此2 actions确保了不会造成任何harm。
: 但是有过项目经验,尤其是项目合作经验的人就知道,这两条无法确保没有harm的。
: 至少你要follow up。不是说你写个clarify paper就保证了没有harm。
: 首先你不是kernel.org组的人的老板。第二就算你是他们的老板,安排活干完后也要测
: 试,
: ...................
只说技术问题,作者不理解
patch B fix Patch A这个过程的复杂度。
忽视了这问题的risk。
假如他propose的patch B fix patch A没有100%奏效,造成了consequence,
那他必然是要负责的。这不是说你有good faith就完事的。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 他這一堆patch有些的確是fix,雖然都是些小毛病。有些就是沒事找事。進了stable的
: 我看了一下,一般的確是fix。
: 不過都不重要,重要的是他們得罪了maintainer,現在就是要搞他們表示態度。
: 不過,何必呢,既然不對付,浪費時間幹什麼,說來說去,一邊想繼續賴着發電
paper,
: 一邊要維持自己project model的形象,都挺沒勁的。
你都不知道我在說什麼,就開始高屋建瓴。
他們組除了那片paper還有別的patch,和那個測試沒關係的。
負責個屁啊,Linux這個東西隨便提交代碼的,只不過非常搞笑的一點,真的bad faith的人會告訴你bad faith?
作者承認了,在那個實驗當中提交的patch裏面有on purpose的bug,但是他根本就沒有讓他們commit,你裝着視而不見有什麼意義嗎?
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: 只说技术问题,作者不理解
: patch B fix Patch A这个过程的复杂度。
: 忽视了这问题可能的严重性。
: 假如他propose的patch B fix patch A没有奏效,造成了严重后果,
: 那他必然是要负责的。
: 我的理解,这不是说你有good faith就完事的。
: 作者承认了introduce bug on purpose。
: paper,
提交的代码有bug是一回事。linux随便提交代码与
故意提交bug没有关系。
关键是作者在论文承认了on purpose的。
提交本身suppose是要通过审查之后commit的。
我刚找人问过了。你不信拉倒。
bug没后果则无所谓。
如果bug有后果,而且你是on purpose提交bug的。
那肯定有law issue。
那么现在是不是100%无后果?email都查到2019年几月了。
哪那么容易说的清楚。这几位有200多个patch等东西。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 你都不知道我在說什麼,就開始高屋建瓴。
: 他們組除了那片paper還有別的patch,和那個測試沒關係的。
: 負責個屁啊,Linux這個東西隨便提交代碼的,只不過非常搞笑的一點,真的bad
faith
: 的人會告訴你bad faith?
: 作者承認了,在那個實驗當中提交的patch裏面有on purpose的bug,但是他根本就沒有
: 讓他們commit,你裝着視而不見有什麼意義嗎?
email list里面确实有人说有bug进了stable branch,在这种松散结构里面通知根本不能保证一定会被执行。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 他這一堆patch有些的確是fix,雖然都是些小毛病。有些就是沒事找事。進了stable的
: 我看了一下,一般的確是fix。
: 不過都不重要,重要的是他們得罪了maintainer,現在就是要搞他們表示態度。
: 不過,何必呢,既然不對付,浪費時間幹什麼,說來說去,一邊想繼續賴着發電
paper,
: 一邊要維持自己project model的形象,都挺沒勁的。
而且其后来提交的patch B,用的是gmail。
有一个是James Bond @ gmail.com
他认为patch A, patch B这两步就能保证0 harm。
我认为此认识是因为技术上没管过复杂点的项目。
【 在 Caravel (克拉维尔) 的大作中提到: 】
: email list里面确实有人说有bug进了stable branch,在这种松散结构里面通知根本不
: 能保证一定会被执行。
: paper,
這事情找人問幹什麼,自己去kernel commit看看不就知道了。
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: 提交的代码有bug是一回事。linux随便提交代码与
: 故意提交bug没有关系。
: 关键是作者在论文承认了on purpose的。
: 提交本身suppose是要通过审查之后commit的。
: 我刚找人问过了。你不信拉倒。
: bug没后果则无所谓。
: 如果bug有后果,而且你是on purpose提交bug的。
: 那肯定有law issue。
: 那么现在是不是100%无后果?email都查到2019年几月了。
: 哪那么容易说的清楚。这几位有200多个patch等东西。
: ...................
自己看看代碼唄,不要在那里人云亦云。再說是你一看肯定不寫也不看kernel代碼的,估計也不知道kernel代碼的維護流程,講了白講。
【 在 Caravel (克拉维尔) 的大作中提到: 】
: email list里面确实有人说有bug进了stable branch,在这种松散结构里面通知根本不
: 能保证一定会被执行。
: paper,
【 在 Caravel (克拉维尔) 的大作中提到: 】
: email list里面确实有人说有bug进了stable branch,在这种松散结构里面通知根本不
: 能保证一定会被执行。
: paper,
在声明里面他们讲他们的patch只存在于email里面
kernel commit又没告诉你这是on purpose bug。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 這事情找人問幹什麼,自己去kernel commit看看不就知道了。
Greg K-H说make to the stable了。
不是只存在于email。
现在问题是你压根不知道哪些email是他们的。
他们论文也没全列出来emial。
[email protected]是谁?我只是看到有人说这个过去的fix怎么怎么。
实际上你不知道是谁。
【 在 heimuer (黑木耳) 的大作中提到: 】
: 在声明里面他们讲他们的patch只存在于email里面
你抓住這個這句話想幹什麼呢?打官司?那去法院唄,我支持。
如果不打官司,你斷章取義自己慢慢玩。
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: kernel commit又没告诉你这是on purpose bug。
我只是指出他们的claim不一定就是对的,至少那个group里面就有人不认同,他们也不看code? 再说你也没有提出任何证据
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 自己看看代碼唄,不要在那里人云亦云。再說是你一看肯定不寫也不看kernel代碼的,
: 估計也不知道kernel代碼的維護流程,講了白講。
Yeah,因爲你不止掉那些Email是他們的,所以你就把umn.edu的去掉了?
你不覺得你邏輯已經殘了嗎?
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: Greg K-H说make to the stable了。
: 不是只存在于email。
: 现在问题是你压根不知道哪些email是他们的。
: 他们论文也没全列出来emial。
: [email protected]是谁?我只是看到有人说这个过去的fix怎么怎么。
: 实际上你不知道是谁。
这又不是我的事,我打什么官司?我只是评论这件事而已。
HN上认为这是attack,所以可能要打官司的consulting在HN,twitter上都有。
严格来说我其实没什么观点。因为细节有很多没掌握。
没人确切知道他们组用了多少fake email,提交了多少。
他们那个clarify文章没有包括jamesbond之类的funny names list。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 你抓住這個這句話想幹什麼呢?打官司?那去法院唄,我支持。
: 如果不打官司,你斷章取義自己慢慢玩。
因爲我至少看了他們提交的一堆代碼,質量是不匝地,但是沒有惡意的。在加上如果論文裏面的惡意代碼進了kernel,這教授這麼說,純粹自己找死。
當然,我歡迎你去找例子搞死他們,而不是說“我聽說”。
【 在 Caravel (克拉维尔) 的大作中提到: 】
: 我只是指出他们的claim不一定就是对的,至少那个group里面就有人不认同,他们也不
: 看code? 再说你也没有提出任何证据
打啊,我支持。千萬不要不打。
不過你們因爲對GH這個人沒概念,我可是因爲有項目一直在看Kernel Mailing List的
,這件事就是社區的面子而已,對一些人可能很重要,which我個人沒有任何興趣。
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: 这又不是我的事,我打什么官司?我只是评论这件事而已。
: HN上认为这是attack,所以linux foundation要打官司的consulting多了。
: 严格来说我其实没什么观点。因为细节有很多没掌握。
: 没人确切知道他们组用了多少fake email,提交了多少。
: 他们那个clarify文章没有包括jamesbond之类的funny names list。
回到代码这块来。https://lore.kernel.org/linux-nfs/[email protected]/
========
They introduce kernel bugs on purpose. Yesterday, I took a look on 4
accepted patches from Aditya and 3 of them added various severity security
"holes".
Thanks
=======
这是Leon Romanovsky 昨天的email说的。
如果你对代码有评论,当然可以去email list评论。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 因爲我至少看了他們提交的一堆代碼,質量是不匝地,但是沒有惡意的。在加上如果論
: 文裏面的惡意代碼進了kernel,這教授這麼說,純粹自己找死。
: 當然,我歡迎你去找例子搞死他們,而不是說“我聽說”。
" Sudip Mukherjee, Linux kernel driver and Debian developer, followed up and said "a lot of these have already reached the stable trees." These patches are now being removed.
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: 回到代码这块来。
: https://lore.kernel.org/linux-nfs/[email protected]/
: ========
: They introduce kernel bugs on purpose. Yesterday, I took a look on 4
: accepted patches from Aditya and 3 of them added various severity security: "holes".
: Thanks
: =======
: 这是Leon Romanovsky 昨天的email说的。
: 如果你对代码有评论,当然可以去email list评论。
代碼呢? which one?
拿一段代碼出來有這麼難嗎?
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: 回到代码这块来。
~~~~~~~~~~~~~~~~~
代碼代碼代碼!!where?
: https://lore.kernel.org/linux-nfs/[email protected]/
: ========
: They introduce kernel bugs on purpose. Yesterday, I took a look on 4
: accepted patches from Aditya and 3 of them added various severity security: "holes".
: Thanks
: =======
: 这是Leon Romanovsky 昨天的email说的。
: 如果你对代码有评论,当然可以去email list评论。
: ...................
你去emaillist看或者问Leon Romanovsky 啊。
这个观点又不是我提出的。你找作者呗。都是昨天的公开讨论。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 代碼呢? which one?
kernel mailing list裏面只要沒代碼的東西,大家都知道可以ignore,除非你想和人
吵架。你這都不知道?
我現在問的是你?你看了什麼代碼了?還是你隨便找了一個人的某句話?
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: 你去emaillist看或者问Leon Romanovsky 啊。
: 这个观点又不是我提出的。你找作者呗。都是昨天的公开讨论。
你问我有什么用。我什么时候说过我的看法是从代码来的?
我不认为代码重要,干嘛要看代码。你不可笑么。
我早讲了,最要的不是代码的bug。而是是不是on purpose。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: kernel mailing list裏面只要沒代碼的東西,大家都知道可以ignore,除非你想和人
: 吵架。你這都不知道?
: 我現在問的是你?你看了什麼代碼了?還是你隨便找了一個人的某句話?
因爲你自己帖子裏面第一句話就是回到代碼,然後來一段mail?什麼叫做代碼???
ok,現在你要講intention是吧?那你去找一個這個烙印承認自己on purpose提交bug
代碼的話出來唄,where?
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: 你问我有什么用。我什么时候说过我的看法是从代码来的?
: 我不认为代码重要,干嘛要看代码。你不可笑么。
: 我早讲了,最要的不是代码的bug。而是是不是on purpose。
“回到代码这块来”,说的是回到代码related materials。这个看不懂吗?
四个patches的代码定性,on purpose这话也是同一个maintainer说的。
你去email list或者HN发言呗。我从昨天开始,就不断给了各种原始出处和link。
一件事有没有,与其作者承认不承认是两回事。
你后一个问题逻辑归零了。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 因爲你自己帖子裏面第一句話就是回到代碼,然後來一段mail?什麼叫做代碼???: ok,現在你要講intention是吧?那你去找一個這個烙印承認自己on purpose提交bug
: 代碼的話出來唄,where?
那你给证据呗?烙印on purpose 提交恶意代码了? 1 2 3, where?
【 在 guvest (我爱你老婆Anna) 的大作中提到: 】
: “回到代码这块来”,说的是回到代码related materials。这个看不懂吗?
: 四个patches的代码定性,on purpose这话也是同一个maintainer说的。
: 你去email list或者HN发言呗。我从昨天开始就给了原始出处和link。
: 一件事有没有,与其作者承认不承认是两回事。
: 你后一个问题逻辑归零了。
又不是我的观点,要我给什么证据?
你开玩笑的么。
“They introduce kernel bugs on purpose”
是HackerNews上面2854 points的大标题好不好。
你也可以去emaillist找Leon Romanovsky 讨论代码啊。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 那你给证据呗?烙印on purpose 提交恶意代码了? 1 2 3, where?