Dewan teknis Linux Foundation baru-baru ini merilis laporan gabungan atas insiden tersebut terkait dengan peneliti dari University of Minnesota yang menjadi skandal, karena mereka mencoba memperkenalkan patch kernel yang berisi bug tersembunyi yang mengarah ke kerentanan.
Pengembang kernel mengkonfirmasi informasi yang dipublikasikan sebelumnya, dari 5 tambalan yang disiapkan selama penyelidikan «Komit Hipokrit», 4 tambalan dengan kerentanan segera dibuang dan atas inisiatif pengelola dan tidak masuk ke repositori kernel.
Selain itu, 435 konfirmasi dianalisis, termasuk perbaikan yang dikirimkan oleh pengembang dari Universitas Minnesota dan tidak terkait dengan eksperimen untuk mempromosikan kerentanan tersembunyi.
Pada tanggal 20 April 2021, diberikan persepsi bahwa sekelompok peneliti di University of Minnesota (UMN) telah melanjutkan pengiriman kode yang membahayakan kernel Linux.
Greg Kroah-Hartman meminta masyarakat untuk berhenti menerima patch dari UMN dan memulai a review baru dari semua kiriman Universitas yang diterima sebelumnya.
Laporan ini merangkum peristiwa yang mengarah ke titik ini, ulasan dandokumen "Hypocrite Commits" yang telah diserahkan untuk diterbitkan, dan meninjau semua komitmen kernel sebelumnya yang diketahui dari penulis artikel UMN itu telah diterima di repositori sumber kami. Akhiri dengan beberapa saran bagaimana komunitas, termasuk UMN, bisa bergerak
meneruskan. Kontributor dokumen ini termasuk anggota Linux
Foundation Technical Advisory Board (TAB), dengan bantuan review patch dari
banyak anggota komunitas pengembang kernel Linux lainnya.
Dan sejak 2018, tim peneliti dari University of Minnesota cukup aktif dalam mengoreksi kesalahan. Tinjauan baru tidak mengungkapkan aktivitas berbahaya apa pun dalam komit ini, tetapi itu mengungkapkan beberapa kesalahan dan kekurangan yang tidak disengaja.
juga 349 konfirmasi dilaporkan telah dianggap benar dan tidak berubah. Dalam 39 komit, ditemukan masalah yang membutuhkan perbaikan; komit ini telah dibatalkan dan akan diganti dengan perbaikan yang lebih tepat sebelum kernel 5.13 dirilis.
Kesalahan dalam 25 komit diperbaiki dalam perubahan berikutnya dan 12 komit kehilangan relevansinya, karena mereka mempengaruhi sistem lama yang telah dihapus dari kernel. Salah satu konfirmasi yang berhasil dibatalkan atas permintaan penulis. 9 konfirmasi benar telah dikirimkan dari alamat @ umn.edu jauh sebelum pembentukan tim peneliti yang dianalisis.
Untuk mendapatkan kembali kepercayaan pada tim University of Minnesota dan mendapatkan kembali kesempatan untuk berpartisipasi dalam pengembangan kernel, Linux Foundation telah mengusulkan sejumlah persyaratan, yang sebagian besar telah dipenuhi.
Uji tuntas membutuhkan audit untuk mengidentifikasi penulis mana yang berpartisipasi dalam berbagai proyek penelitian UMN, identifikasi tujuan dari setiap menambal dan menghapus tambalan yang salah terlepas dari niatnya. Ini berusaha untuk membangun kembali lKepercayaan masyarakat terhadap kelompok penelitian juga penting, karena ituInsiden ini bisa berdampak luas pada kepercayaan pada keduanya alamat yang dapat mendinginkan partisipasi peneliti di kernel dan di mengembangkan.
Misalnya, para peneliti telah menarik publikasi "Komitmen Hipokrit" dan membatalkan pembicaraan mereka di Simposium IEEE, selain mengungkapkan kronologi lengkap peristiwa secara terbuka dan memberikan rincian perubahan yang diajukan selama penelitian.
Kita harus ingat itu Greg Kroah-Hartman, yang bertanggung jawab untuk memelihara cabang stabil dari kernel Linux memperhatikan kejadian tersebut dan mengambil keputusan untuk menolak perubahan apa pun dari University of Minnesota ke kernel Linux, dan kembalikan semua tambalan yang diterima sebelumnya dan periksa ulang.
Alasan pemblokiran tersebut adalah karena kegiatan kelompok peneliti yang mempelajari kemungkinan mempromosikan kerentanan tersembunyi dalam kode proyek sumber terbuka, karena grup ini telah mengirimkan tambalan yang menyertakan berbagai jenis kesalahan.
sumber: https://lore.kernel.org