Revision afsluttet for alle programrettelser indsendt af University of Minnesota

Det tekniske råd for Linux Foundation udgav for nylig en konsolideret rapport om hændelsen relateret til forskere fra University of Minnesota hvilket blev en hel skandale, da de forsøgte at introducere patches i kernen, der indeholder skjulte fejl, der fører til sårbarheder.

Kerneudviklerne bekræftede de offentliggjorte oplysninger tidligere ud af 5 patches, der var udarbejdet i løbet af «Hypocrite Commits» -undersøgelsen, blev 4 patches med sårbarheder straks og på initiativ af vedligeholdere kasseret og kom ikke ind i kernelageret.

Derudover 435 bekræftelser blev analyseret, herunder rettelser indsendt af udviklere fra University of Minnesota og ikke er relateret til et eksperiment for at fremme skjulte sårbarheder.

Den 20. april 2021 givet opfattelsen af, at en gruppe af forskere ved University of Minnesota (UMN) var genoptaget forsendelsen kode, der kompromitterer Linux-kernen.

Greg Kroah-Hartman bad samfundet om at stoppe med at acceptere programrettelser fra UMN og startede en ny gennemgang af alle tidligere accepterede universitetsindlæg.
Denne rapport opsummerer de begivenheder, der førte op til dette punkt, anmeldelser ogdokumentet "Hypocrite Commits", der var blevet sendt til offentliggørelse, og gennemgår alle kendte tidligere kernelforpligtelser fra UMN-artikelforfattere, der er blevet accepteret i vores kildelager. Afslut med nogle forslag til, hvordan samfundet, herunder UMN, kan bevæge sig
frem. Bidragydere til dette dokument inkluderer Linux-medlemmer
Fagets tekniske rådgivende råd (TAB) ved hjælp af patch review af
mange andre medlemmer af Linux-kerneludviklerfællesskabet.

Og er det, siden et team af forskere fra University of Minnesota siden 2018 har været ret aktive i at rette fejl. Den nye anmeldelse afslørede ingen ondsindet aktivitet i disse forpligtelser, men det afslørede nogle utilsigtede fejl og mangler.

også 349 bekræftelser rapporteres som korrekte og uændrede. I 39 forpligtelser blev der fundet problemer, der krævede reparation; disse forpligtelser er blevet annulleret og vil blive erstattet af mere korrekte rettelser inden kernen 5.13 frigives.

Fejlene i 25 forpligtelser blev løst i efterfølgende ændringer, og 12 forpligtelser mistede deres relevans, da de påvirkede ældre systemer, der allerede er fjernet fra kernen. En af de korrekte bekræftelser blev annulleret på forespørgsel fra forfatteren. 9 korrekte bekræftelser blev sendt fra @ umn.edu-adresser længe før dannelsen af ​​det analyserede forskergruppe.

For at genvinde tilliden til University of Minnesota-teamet og genvinde muligheden for at deltage i kerneudvikling har Linux Foundation foreslået en række krav, hvoraf de fleste allerede er opfyldt.

Due diligence krævede en revision for at identificere, hvilke forfattere der deltog i forskellige UMN-forskningsprojekter, identificer hensigten med enhver lapp og fjern defekte programrettelser uanset hensigt. Dette søger at genoprette lSamfundets tillid til forskningsgrupper er også vigtig, da detDenne hændelse kan have en vidtrækkende indvirkning på tilliden til begge dele adresser, der kan afkøle enhver forskers deltagelse i kernen og i udvikler sig.

For eksempel har forskerne allerede trukket udgivelsen af ​​"Hypocrite Commits" tilbage og annulleret deres tale ved IEEE Symposium, ud over at offentliggøre den fulde kronologi af begivenheder og give detaljer om de ændringer, der blev indsendt under undersøgelsen.

Du skal huske det Greg Kroah-Hartman, hvem er ansvarlig for at vedligeholde den stabile gren af ​​Linux-kernen bemærkede begivenheden og tog beslutningen om at nægte ændringer fra University of Minnesota til Linux-kernen, og tilbagefør alle tidligere accepterede programrettelser og kontroller dem igen.

Årsagen til blokaden var en forskningsgruppes aktiviteter der undersøger muligheden for at promovere skjulte sårbarheder i koden til open source-projekter, da denne gruppe har sendt programrettelser, der indeholder fejl af forskellige typer.

kilde: https://lore.kernel.org


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.