Bu yılın başlarında güvenlik firması Theori, Linux çekirdeğinde daha sonra “Kopyalama Başarısızlığı” olarak anılacak bir güvenlik açığı keşfetti. Güvenlik açığı, ayrıcalıklı olmayan kullanıcıların kök ayrıcalıkları kazanmasına izin verdi. Theori bunu 23 Mart'ta çekirdek geliştiricilerine bildirdi ve 1 Nisan'da mevcut çekirdek geliştirme dalında düzeltildi; Birkaç gün sonra çekirdek geliştiricileri düzeltmeleri 6.18 ve 6.19 şubelerine de getirdi. Sorumlu Linux ekibi, bu güvenlik açığına benzersiz bir numara (CVE-2026-31431) atadı ve 22 Nisan'da, diğer hususların yanı sıra düzeltmelere de değinen bir bildirim yayınladı.
Koordineli açıklamanın en iyi şekilde yapıldığını düşünebilirsiniz, ancak Theori 29 Nisan'da Copy Fail'i ve bir örnek istismarı halka açık bir şekilde yayınladığında, birçok Linux dağıtımı ve kullanıcıları sürpriz bir şekilde yakalandı: dağıtımlar tarafından dağıtılan çekirdekler düzeltmeleri içermiyordu ve çekirdek ekibi tarafından sunulan “uzun vadeli” sürümlerin bazıları da yoktu. İkincisine ilişkin düzeltmeler 30 Nisan'da sunuldu; Bazı dağıtımların güncellenmiş çekirdekleri göndermesi çok daha uzun sürdü ve etkilenen sistemleri onarmak için geçici çözümleri bir araya getirmekle meşguldü.
- “Kopyalama Başarısızlığı” vakası, aslında giderilen bir açığın dağıtımlarda nasıl bir güvenlik sorunu haline geldiğini gösteriyor.
- Çekirdek geliştiricileri ve dağıtımları, bireysel hata düzeltmelerinin güvenlikle ne kadar ilgili olduğu konusunda sessiz kalıyor.
- Tartışmalı soru: Sürekli olarak yeni çekirdekler mi yüklemelisiniz yoksa eski çekirdeklere hata düzeltmeleri mi yüklemelisiniz?
Sonuç olarak Theori oldukça eleştirildi. Bunun iyi bir nedeni vardı (bu konuya daha sonra değineceğim), ancak Kopyalama Başarısızlığı olağanüstü bir başarısızlık değildi ve bunun nedeni yalnızca Theori'ye atfedilebilir. Çekirdek açıklarının ifşa edilmesi sürecinde genel bir kriz yaşandığı gerçeği, Copy Fail'den yalnızca birkaç gün sonra, “Dirty Frag” ve “Copy Fail 2” güvenlik açıklarının yayınlanmasıyla ortaya çıktı. Theori her iki olaya da dahil değildi ve bu iki olayda da kamuoyuna yapılan duyuru düzgün olmaktan çok uzaktı.
Bu, Haberler Plus “Linux çekirdeğindeki güvenlik açıklarıyla nasıl başa çıkılır” makalemizden alıntıdır. Haberler Plus aboneliği ile yazının tamamını okuyabilirsiniz.
Bir yanıt yazın