اكتمل التدقيق لجميع التصحيحات المقدمة من جامعة مينيسوتا

المجلس الفني أصدرت مؤسسة Linux Foundation مؤخرًا تقريرًا موحدًا عن الحادث المتعلقة بالباحثين من جامعة مينيسوتا التي أصبحت فضيحة ، حيث قاموا بمحاولات لإدخال تصحيحات في النواة تحتوي على أخطاء خفية تؤدي إلى نقاط الضعف.

أكد مطورو النواة المعلومات المنشورة سابقًا ، من أصل 5 تصحيحات تم إعدادها في سياق تحقيق "Hypocrite Commits" ، تم تجاهل 4 تصحيحات بها نقاط ضعف على الفور وبمبادرة من المشرفين ولم تدخل إلى مستودع kernel.

وبالإضافة إلى ذلك، تم تحليل 435 تأكيدا ، بما في ذلك الإصلاحات المقدمة من قبل المطورين من جامعة مينيسوتا والتي لا تتعلق بتجربة لتعزيز الثغرات الأمنية المخفية.

في 20 أبريل 2021 ، بالنظر إلى التصور بأن مجموعة من استأنف باحثون في جامعة مينيسوتا (UMN) الشحن كود يضر بنواة لينكس.

جريج كرواه هارتمان طلب من المجتمع التوقف عن قبول التصحيحات من UMN وبدأ ملف مراجعة جديدة لجميع الطلبات المقدمة من الجامعة التي تم قبولها مسبقًا.
يلخص هذا التقرير الأحداث التي أدت إلى هذه النقطة ، ويستعرض ووثيقة "Hypocrite Commits" التي تم تقديمها للنشر ، و يستعرض جميع التزامات kernel السابقة المعروفة من مؤلفي مقالات UMN التي تم قبوله في مستودع المصدر الخاص بنا. اختتم مع البعض اقتراحات حول كيفية تحرك المجتمع ، بما في ذلك UMN
إلى الأمام. من بين المساهمين في هذا المستند أعضاء Linux
المجلس الاستشاري الفني للمؤسسة (TAB) ، بمساعدة مراجعة التصحيح من
العديد من الأعضاء الآخرين في مجتمع مطوري Linux kernel.

ومنذ عام 2018 ، كان فريق من الباحثين من جامعة مينيسوتا نشطًا جدًا في تصحيح الأخطاء. لم تكشف المراجعة الجديدة عن أي نشاط خبيث في هذه الأعمال ، لكنها كشفت عن بعض الأخطاء والعيوب غير المقصودة.

أيضا تم الإبلاغ عن 349 تأكيدًا على أنها صحيحة ولم تتغير. في 39 التزامًا ، تم العثور على مشاكل تتطلب الإصلاح ؛ تم إلغاء هذه الالتزامات وسيتم استبدالها بمزيد من الإصلاحات الصحيحة قبل إصدار kernel 5.13.

الأخطاء في تم إصلاح 25 التزامًا في التغييرات اللاحقة وفقد 12 التزامًا أهميتها ، لأنها أثرت على الأنظمة القديمة التي تمت إزالتها بالفعل من النواة. تم إلغاء أحد التأكيدات الناجحة بناءً على طلب المؤلف. تم إرسال 9 تأكيدات صحيحة من عناوين @ umn.edu قبل وقت طويل من تشكيل فريق البحث الذي تم تحليله.

لاستعادة الثقة في فريق جامعة مينيسوتا واستعادة فرصة المشاركة في تطوير النواة ، اقترحت مؤسسة Linux عددًا من المتطلبات ، والتي تم الوفاء بمعظمها بالفعل.

تتطلب العناية الواجبة تدقيقًا لتحديد المؤلفين المشاركين في مشاريع بحثية مختلفة من UMN ، حدد نية أي التصحيح وإزالة البقع المعيبة بغض النظر عن النية. مع هذا ، فإن استعادة L.إن ثقة المجتمع في مجموعات البحث مهمة أيضًا ، لأنها كذلكيمكن أن يكون لهذا الحادث تأثير بعيد المدى على الثقة في كليهما العناوين التي يمكن أن تبرد مشاركة أي باحث في النواة وفي تطوير.

على سبيل المثال ، سحب الباحثون بالفعل نشر "Hypocrite Commits" وألغوا حديثهم في ندوة IEEE ، بالإضافة إلى الكشف العلني عن التسلسل الزمني الكامل للأحداث وتقديم تفاصيل التغييرات المقدمة أثناء الدراسة.

عليك أن تتذكر ذلك جريج كروه هارتمان لاحظ المسؤول عن الحفاظ على الفرع المستقر لنواة Linux الحدث واستقبله قرار رفض أي تغييرات من جامعة مينيسوتا إلى نواة لينكس، وأعد جميع التصحيحات التي تم قبولها مسبقًا وأعد التحقق منها.

كان سبب الحصار أنشطة مجموعة بحثية التي تدرس إمكانية الترويج للثغرات الخفية في كود المشاريع مفتوحة المصدر ، حيث أن هذه المجموعة قد أرسلت تصحيحات تتضمن أخطاء من أنواع مختلفة.

مصدر: https://lore.kernel.org


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.