Completouse a auditoría de todos os parches presentados pola Universidade de Minnesota

O consello técnico de a Fundación Linux publicou recentemente un informe consolidado sobre o incidente relacionado cos investigadores da Universidade de Minnesota o que se converteu en todo un escándalo, xa que intentaron introducir parches no núcleo que conteñan erros ocultos que levan a vulnerabilidades.

Os desenvolvedores do kernel confirmaron a información publicada anteriormente, de 5 parches preparados no curso da investigación «Compromisos hipócritas», 4 parches con vulnerabilidades descartáronse inmediatamente e por iniciativa dos mantedores e non entraron no repositorio do núcleo.

Ademais, Analizáronse 435 confirmacións, incluíndo correccións enviadas por desenvolvedores da Universidade de Minnesota e non relacionadas cun experimento para promover vulnerabilidades ocultas.

O 20 de abril de 2021, dada a percepción de que un grupo de investigadores da Universidade de Minnesota (UMN) retomaran o envío código que compromete o núcleo de Linux.

Greg Kroah-Hartman pediu á comunidade que deixase de aceptar parches de UMN e iniciou un nova revisión de todos os envíos aceptados previamente á Universidade.
Este informe resume os acontecementos que levaron a este punto, revisións eo documento "Hypocrite Commits" que fora presentado para a súa publicación e revisa todas as comisións coñecidas do núcleo anterior de autores de artigos de UMN que foi aceptado no noso repositorio de orixe. Concluír con algúns suxestións sobre como pode moverse a comunidade, incluída UMN
adiante. Os contribuíntes a este documento inclúen membros de Linux
Consello Asesor Técnico da Fundación (TAB), coa axuda da revisión de parches de
moitos outros membros da comunidade de desenvolvedores do núcleo Linux.

E desde 2018, un equipo de investigadores da Universidade de Minnesota foi bastante activo na corrección de erros. A nova revisión non revelou ningunha actividade maliciosa nestes compromisos, pero revelou algúns erros e deficiencias involuntarios.

tamén 349 confirmacións consideráronse correctas e sen cambios. En 39 compromisos atopáronse problemas que requirían reparación; estas confirmacións canceláronse e substituiranse por correccións máis correctas antes de liberar o kernel 5.13.

Os erros en Fixáronse 25 confirmacións nos cambios posteriores e 12 confirmacións perderon a súa relevancia, xa que afectaron a sistemas herdados que xa foron eliminados do núcleo. Unha das confirmacións correctas foi cancelada a petición do autor. Enviáronse 9 confirmacións correctas desde enderezos de @ umn.edu moito antes da formación do equipo de investigación analizado.

Para recuperar a confianza no equipo da Universidade de Minnesota e recuperar a oportunidade de participar no desenvolvemento do núcleo, a Fundación Linux propuxo unha serie de requisitos, a maioría dos cales xa se cumpriron.

A debida dilixencia requiriu unha auditoría para identificar que autores participaron en diferentes proxectos de investigación da UMN, identifique a intención de calquera parche e elimine parches defectuosos independentemente da intención. Isto busca restablecer lTamén é importante a confianza da comunidade nos grupos de investigaciónEste incidente pode ter un impacto de gran alcance na confianza en ambos enderezos que poderían refrescar a participación de calquera investigador no núcleo e no desenvolvendo.

Por exemplo, os investigadores xa retiraron a publicación de "Hypocrite Commits" e cancelaron a súa charla no Simposio IEEE, ademais de revelar publicamente a cronoloxía completa dos acontecementos e proporcionar detalles dos cambios presentados durante o estudo.

Debemos recordar iso Greg Kroah-Hartman, quen é o responsable de manter a rama estable do núcleo Linux notou o evento e tomou a decisión de negar calquera cambio da Universidade de Minnesota ao núcleo Linuxe reverte todos os parches aceptados anteriormente e volve comprobalos.

O motivo do bloqueo foron as actividades dun grupo de investigación que estuda a posibilidade de promover vulnerabilidades ocultas no código dos proxectos de código aberto, xa que este grupo enviou parches que inclúen erros de varios tipos.

Fuente: https://lore.kernel.org


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.