La méthode n'est certes pas terrible, mais l'énorme sur-réaction de Greg KH - proposer un revert de tous les patches envoyés par des adresses mail @emn.edu depuis des années, alors que <2% des patches sont volontairement malveillants, et de plus, que les trois patches malveillants n'en font même pas partie puisqu'ils ont justement été envoyés depuis des adresses @gmail - est ouvertement néfaste. Un nombre certain des patches qu'il veut annuler corrigent de vrais bugs, et leur revert sans distinction réintrodui(rai)t donc des vulnérabilités par dizaines, cf. par exemple
https://lore.kernel.org/lkml/20210422083850.GA5316@amd/ !
Mais beaucoup de commentaires sur le sujet sont mauvais. Non seulement beaucoup prétendent que presque 200 vulnérabilités ont été introduites, ce qui est archi-faux, mais ils ne mentionnent pas que le revert complet fait beaucoup plus de mal que de bien... alors quant à mentionner les trous du processus de développement de Linux qui ont permis d'en arriver là, pensez donc...
Je tire ces infos du flux Twitter de spender, qui en connaît un rayon sur la sécurité Linux.
Cette façon de salir la réputation des universitaires et de leur université ressemble à de la vengeance pour avoir révélé de façon visible - une façon dont Greg KH et les autres augmentent d'ailleurs la visibilité par la façon dont ils communiquent - la nudité du roi (les limites du processus de review et la quantité énorme de vulnérabilités contenue dans le kernel Linux, comme dans les autres d'ailleurs, sans même qu'il y ait d'intention réellement malveillante - c'est juste facile de faire des bêtises en C) comme façon de dissuader d'autres personnes de renouveler l'expérience
de façon visible. Ca souligne totalement la pertinence de l'étude, en effet.
Entre autres threads intéressants sur le flux de spender,
https://mobile.twitter.com/spendergrsec/status/1385343293140180998 , qui se termine actuellement par "They snatched defeat from the jaws of victory. Turned a paper about 3 commits not getting past review into dozens of their own developers talking about how terrible their review processes are and how easy it would be for someone to backdoor the kernel."
C'est vrai, les agences gouvernementales n'ont pas besoin de faire mettre des backdoors dans les kernels des principaux OS (et de risquer de se faire prendre), puisqu'il suffit d'exploiter les nombreuses vulnérabilités existantes qui ne sont même pas intentionnelles et l'absence de mitigations connues depuis parfois bientôt 20 ans dans les versions que tout le monde utilise.
Heureusement, des gens plus raisonnables, et même des gens que Greg KH est susceptible d'écouter, sont contre le revert généralisé: