Il consiglio tecnico di la Linux Foundation ha recentemente pubblicato un rapporto consolidato sull'incidente relativi ai ricercatori dall'Università del Minnesota che è diventato un vero scandalo, dal momento che hanno tentato di introdurre patch nel kernel che contengono errori nascosti che portano a vulnerabilità.
Gli sviluppatori del kernel hanno confermato le informazioni pubblicate in precedenza, su 5 patch preparate nel corso dell'indagine "Hypocrite Commits", 4 patch con vulnerabilità sono state scartate immediatamente e su iniziativa dei manutentori e non sono entrate nel repository del kernel.
Inoltre, Sono state analizzate 435 conferme, comprese le correzioni inviate dagli sviluppatori dell'Università del Minnesota e non correlate a un esperimento per promuovere le vulnerabilità nascoste.
Il 20 aprile 2021, data la percezione che un gruppo di i ricercatori dell'Università del Minnesota (UMN) avevano ripreso la spedizione codice che compromette il kernel Linux.
Greg Kroah-Hartman ha chiesto alla comunità di smettere di accettare patch da UMN e ha avviato un file nuova revisione di tutte le proposte universitarie precedentemente accettate.
Questo rapporto riassume gli eventi che hanno portato a questo punto, esamina eil documento "Hypocrite Commits" che era stato presentato per la pubblicazione, e esamina tutti i precedenti commit conosciuti del kernel dagli autori di articoli UMN che è stato accettato nel nostro repository dei sorgenti. Concludere con alcuni suggerimenti su come la comunità, incluso UMN, può muoversi
inoltrare. I contributori di questo documento includono i membri di Linux
Technical Advisory Board (TAB) della Fondazione, con l'aiuto della revisione delle patch di
molti altri membri della comunità di sviluppatori del kernel Linux.
Ed è che dal 2018 un team di ricercatori dell'Università del Minnesota è stato piuttosto attivo nella correzione degli errori. La nuova revisione non ha rivelato alcuna attività dannosa in questi commit, ma ha rivelato alcuni errori e carenze involontarie.
anche 349 conferme sono riportate come corrette e invariate. In 39 commit, sono stati riscontrati problemi che richiedono riparazioni; questi commit sono stati annullati e saranno sostituiti da correzioni più corrette prima del rilascio del kernel 5.13.
Gli errori in 25 commit sono stati fissati in modifiche successive e 12 commit hanno perso la loro rilevanza, poiché hanno interessato i sistemi legacy che sono già stati rimossi dal kernel. Una delle conferme corrette è stata annullata su richiesta dell'autore. 9 conferme corrette sono state inviate dagli indirizzi @ umn.edu molto prima della formazione del gruppo di ricerca analizzato.
Per riconquistare la fiducia nel team dell'Università del Minnesota e riguadagnare l'opportunità di partecipare allo sviluppo del kernel, la Linux Foundation ha proposto una serie di requisiti, la maggior parte dei quali sono già stati soddisfatti.
La due diligence ha richiesto un audit per identificare gli autori che hanno partecipato in diversi progetti di ricerca dell'UMN, identificare l'intenzione di qualsiasi correggere e rimuovere le patch difettose indipendentemente dall'intenzione. Questo cerca di ristabilire lAnche la fiducia della comunità nei gruppi di ricerca è importante, dal momento che lo èQuesto incidente potrebbe avere un impatto di vasta portata sulla fiducia in entrambi indirizzi che potrebbero raffreddare la partecipazione di qualsiasi ricercatore al kernel e al sviluppando.
Ad esempio, i ricercatori hanno già ritirato la pubblicazione di "Hypocrite Commits" e annullato il loro discorso al IEEE Symposium, oltre a divulgare pubblicamente la cronologia completa degli eventi e fornire dettagli sui cambiamenti presentati durante lo studio.
Devi ricordarlo Greg Kroah Hartman, chi è responsabile del mantenimento del ramo stabile del kernel Linux ha notato l'evento e ha preso la decisione di negare qualsiasi modifica dall'Università del Minnesota al kernel Linuxe ripristina tutte le patch precedentemente accettate e ricontrollale.
Il motivo del blocco erano le attività di un gruppo di ricerca che studia la possibilità di promuovere vulnerabilità nascoste nel codice di progetti open source, poiché questo gruppo ha inviato patch che includono errori di vario tipo.
fonte: https://lore.kernel.org