Der technische Rat von Die Linux Foundation hat kürzlich einen konsolidierten Bericht über den Vorfall veröffentlicht im Zusammenhang mit Forschern von der University of Minnesota Dies wurde zu einem Skandal, als sie versuchten, Kernel-Patches einzuführen, die versteckte Fehler enthalten, die zu Sicherheitslücken führen.
Die Kernel-Entwickler bestätigten die veröffentlichten Informationen Zuvor wurden von 5 Patches, die im Rahmen der Untersuchung «Hypocrite Commits» erstellt wurden, 4 Patches mit Sicherheitslücken sofort und auf Initiative der Betreuer verworfen und nicht in das Kernel-Repository aufgenommen.
Zusätzlich 435 Bestätigungen wurden analysiert, einschließlich Korrekturen, die von Entwicklern der University of Minnesota eingereicht wurden und nicht mit einem Experiment zur Förderung versteckter Sicherheitslücken zusammenhängen.
Am 20. April 2021, angesichts der Wahrnehmung, dass eine Gruppe von Forscher der University of Minnesota (UMN) hatten die Schifffahrt wieder aufgenommen Code, der den Linux-Kernel kompromittiert.
Greg Kroah-Hartman bat die Community, keine Patches mehr von UMN zu akzeptieren, und startete a neue Überprüfung aller zuvor akzeptierten Einreichungen der Universität.
Dieser Bericht fasst die Ereignisse zusammen, die zu diesem Punkt geführt haben, Bewertungen unddas zur Veröffentlichung eingereichte Dokument "Hypocrite Commits" und überprüft alle bekannten früheren Kernel-Commits von UMN-Artikelautoren, die wurde in unser Quell-Repository aufgenommen. Schließen Sie mit einigen Vorschläge, wie sich die Community, einschließlich UMN, bewegen kann
nach vorne. Zu den Mitwirkenden an diesem Dokument gehören Linux-Mitglieder
Foundation Technical Advisory Board (TAB), mit Hilfe der Patch-Überprüfung von
viele andere Mitglieder der Linux-Kernel-Entwickler-Community.
Und seit 2018 ist ein Forscherteam der University of Minnesota sehr aktiv bei der Korrektur von Fehlern. Die neue Überprüfung ergab keine böswilligen Aktivitäten in diesen Commits, aber einige unbeabsichtigte Fehler und Mängel.
auch 349 Bestätigungen gelten als korrekt und unverändert. In 39 Commits wurden reparaturbedürftige Probleme festgestellt. Diese Commits wurden abgebrochen und werden durch korrektere Korrekturen ersetzt, bevor Kernel 5.13 veröffentlicht wird.
Die Fehler in 25 Commits wurden in nachfolgenden Änderungen behoben und 12 Commits verloren ihre Relevanz. da sie ältere Systeme betrafen, die bereits aus dem Kernel entfernt wurden. Eine der erfolgreichen Bestätigungen wurde auf Wunsch des Autors storniert. 9 korrekte Bestätigungen wurden lange vor der Bildung des analysierten Forschungsteams von @ umn.edu-Adressen gesendet.
Um das Vertrauen in das Team der University of Minnesota wiederzugewinnen und die Möglichkeit zu erhalten, an der Kernelentwicklung teilzunehmen, hat die Linux Foundation eine Reihe von Anforderungen vorgeschlagen, von denen die meisten bereits erfüllt wurden.
Die Due Diligence erforderte ein Audit, um festzustellen, welche Autoren teilgenommen haben Identifizieren Sie in verschiedenen Forschungsprojekten des UMN die Absicht eines jeden patchen und entfernen Sie fehlerhafte Patches unabhängig von der Absicht. Damit soll l wieder hergestellt werdenDas Vertrauen der Community in Forschungsgruppen ist ebenfalls wichtig, da esDieser Vorfall könnte weitreichende Auswirkungen auf das Vertrauen in beide haben Adressen, die die Teilnahme eines Forschers am Kernel und am Kernel abkühlen könnten Entwicklung.
Zum Beispiel haben die Forscher die Veröffentlichung von "Hypocrite Commits" bereits zurückgezogen und ihren Vortrag auf dem IEEE-Symposium abgesagt sowie die vollständige Chronologie der Ereignisse öffentlich bekannt gegeben und Einzelheiten zu den während der Studie eingereichten Änderungen angegeben.
Das muss man sich merken Greg Kroah-Hartman, Wer für die Aufrechterhaltung des stabilen Zweigs des Linux-Kernels verantwortlich ist, hat das Ereignis bemerkt und genommen die Entscheidung, Änderungen von der University of Minnesota am Linux-Kernel abzulehnenund setzen Sie alle zuvor akzeptierten Patches zurück und überprüfen Sie sie erneut.
Der Grund für die Blockade waren die Aktivitäten einer Forschungsgruppe Das untersucht die Möglichkeit, versteckte Schwachstellen im Code von Open Source-Projekten zu fördern, da diese Gruppe Patches gesendet hat, die Fehler verschiedener Art enthalten.
Quelle: https://lore.kernel.org