Es complet l'auditoria de tots els pegats enviats per la Universitat de Minnesota

El consell tècnic de la Fundació Linux va donar a conèixer recentment un informe consolidat sobre l'incident relacionat amb els investigadors de la Universitat de Minnesota el qual es va tornar tot un escàndol, ja que feien intents d'introduir pegats al nucli que contenen errors ocults que condueixen a vulnerabilitats.

Els desenvolupadors del nucli van confirmar la informació publicada anteriorment que de 5 pegats preparats en el curs de la investigació Hypocrite Commits, 4 pegats amb vulnerabilitats van ser descartats immediatament i per iniciativa dels mantenidors i no van ingressar al repositori del nucli.

A més, es van analitzar 435 confirmacions, incloses les correccions enviades per desenvolupadors de la Universitat de Minnesota i no relacionades amb un experiment per promoure vulnerabilitats ocultes.

El 20 d'abril de 2021, davant la percepció que un grup de investigadors de la Universitat de Minnesota (UMN) havien reprès l'enviament de codis comprometent el nucli de Linux.

Greg Kroah-Hartman va demanar a la comunitat que deixés d'acceptar pegats d'UMN i va començar una nova revisió de totes les presentacions prèviament acceptades de la Universitat.
Aquest informe resumeix els fets que van portar a aquest punt, revisa il document «Hypocrite Commits» que s'havia enviat per a la seva publicació, i revisa totes les confirmacions de nucli anteriors conegudes dels autors d'articles d'UMN que ha estat acceptat al nostre repositori d'origen. Conclou amb algunes suggeriments sobre com la comunitat, amb UMN inclosa, es pot moure
cap endavant. Els col·laboradors d'aquest document inclouen membres de Linux
Junta Assessora Tècnica (TAB) de la Fundació, amb l'ajuda de revisió de pegats de
molts altres membres de la comunitat de desenvolupadors del nucli de Linux.

I és que des del 2018, un equip d'investigadors de la Universitat de Minnesota ha estat força actiu en la correcció d'errors. La nova revisió no va revelar cap activitat maliciosa en aquestes confirmacions, però va revelar algunes errades i deficiències no intencionals.

També s'informa que 349 confirmacions es van considerar correctes i no es van modificar. A 39 confirmacions, es van trobar problemes que requereixen reparació; aquestes confirmacions es van cancel·lar i seran reemplaçades per correccions més correctes abans que es llanci el nucli 5.13.

Els errors a 25 confirmacions es van corregir en canvis posteriors i 12 confirmacions van perdre la seva rellevància, ja que van afectar sistemes heretats que ja es van eliminar del nucli. Una de les confirmacions correctes es va cancel·lar a petició de l'autor. S'han enviat 9 confirmacions correctes des de les adreces @ umn.edu abans de la formació de l'equip de recerca analitzat.

Per recuperar la confiança a l'equip de la Universitat de Minnesota i recuperar l'oportunitat de participar en el desenvolupament del nucli, la Fundació Linux ha proposat una sèrie de requisits, la majoria dels quals ja s'han complert.

La deguda diligència va requerir una auditoria per identificar quins autors hi van participar en diferents projectes de recerca de la UMN, identificar la intenció de qualsevol pegat i eliminar els pegats defectuosos independentment de la intenció. Amb això es busca el restabliment de la confiança de la comunitat en els grups d'investigadors també és important, ja queaquest incident podria tenir un impacte de gran abast en la confiança tant en direccions que podrien refredar la participació de qualsevol investigador al kernel i al desenvolupament.

Per exemple, els investigadors ja van retirar la publicació de «Hypocrite Commits» i van cancel·lar la xerrada al Simposi IEEE, a més de revelar públicament la cronologia completa d'esdeveniments i proporcionar detalls dels canvis enviats durant l'estudi.

Cal recordar que Greg Kroah-Hartman, qui és responsable de mantenir la branca estable del nucli de Linux es va adonar del succés i tom la decisió de negar qualsevol canvi provinent de la Universitat de Minnesota al nucli de Linux, i revertir tots els pegats acceptats prèviament i tornar-los a revisar.

El motiu del bloqueig van ser les activitats d¿un grup de recerca que estudia la possibilitat de promoure vulnerabilitats ocultes al codi de projectes de codi obert, ja que aquest grup ha enviat pegats que inclouen errors de diversos tipus.

font: https://lore.kernel.org


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.