Pirms dažām dienām notika neparasts incidents, kas satricināja Linux kodola kopienu, un tas ir Linuss Torvalds pavēlēja nekavējoties apturēt Kīsa Kuka kontu vietnē kernel.org., pēc tam, kad šī izstrādātāja Git repozitorijā tika konstatētas manipulētas izmaiņas.
Kīss Kuks, atzīts par savu vadību Ubuntu drošības komandā un par vairāk nekā divpadsmit ar drošību saistītu kodola apakšsistēmu uzturēšanu, uz laiku tika aizliegts iesniegt izmaiņas, kamēr tiek noskaidroti fakti.
Autorības un parakstu maiņa Kees Cook repozitorijā
Problēma radās izmaiņu iekļaušanas pieprasījuma dēļ.s uz 6.16 kodola atzaru, kurā Linuss identificēja atsauces uz repozitoriju kas saturēja izdarīt manipulācijas ar viņa vārds kā autoram un apstiprinātājam, neskatoties uz to, ka viņš pats tos nav veicis. Viens no nopietnākajiem piemēriem bija dublikāta komits, kura saturs bija identisks oriģinālam, bet ar atšķirīgu SHA1 jaucējkodu un kurā kļūdaini bija iekļauts Linusa Torvalda paraksts.
Šīs izmaiņas nevar attiecināt tikai uz nejaušu kļūdul git atkārtotas bāzes izveides operācijas laikā, jo tie ietvēra milzīgas izmaiņas sensitīvas informācijas, tostarp vairāk nekā 6.000 pārrakstītu izmaiņu, no kurām 330 autora vārds bija Linuss.
Torvalda reakcija: aizdomas par apzinātu manipulāciju
Linuss Torvalds neslēpa savas bažas. un aprakstīja notikumus kā potenciāli ļaunprātīgus:
"Viens vai divi pārrakstījumi varētu būt kļūda. Bet tūkstošiem no tiem, daudzi ar manu viltoto parakstu, tādi nav," viņš paziņoja.
Ņemot vērā izmaiņu apmēru un risku oficiālā kodola koka integritātei, Torvalds jautāja Konstantīnam Rjabicevam, kernel.org infrastruktūras administrators, qlai bloķētu Kīsa Kuka piekļuvi, līdz situācija tiks noskaidrota.
Atbildot, Kīss Kuks paskaidroja, ka viņam nesen ir bijušas tehniskas problēmas. kas varēja izraisīt incidentu. Viņš teica, Jūsu SSD diskā kopēšanas darbību laikā radās kļūdas, kas izraisīja bojājumus vairākās krātuvēs. Pēc šīm kļūdām viņš mēģināja atjaunot sava krātuves stāvokli, izmantojot git rebase un dažādus automatizācijas rīkus.
Tomēr šīs operācijas tika veiktas kritiski svarīgās filiālēs., piemēram, for-next/hardening un for-linus/hardening, kas izraisīja nejaušu repozitorija vēstures modifikāciju, tostarp izmaiņu izmaiņu izmaiņu izmaiņu izmaiņu izmaiņu izmaiņu izmaiņu izmaiņu sarakstā. Neskatoties uz viņa skaidrojumu, Linuss bija skeptisks.:
"Es nesaprotu, kā varēja notikt nejauša apdzīšana, vēl jo mazāk ar tik lielu izmaiņu apjomu."
Īstais vaininieks: git-filter-repo un b4 treileri
Vēlākā ziņojumā, Kīss Kuks identificēja iespējamo kļūdas avotudivu instrumentu kombinēta lietošana, git-filter-repo un b4 treilerus, kas manipulē ar izmaiņu vēsturi un treilerus (piemēram, tagus, kas parakstīti:) izmaiņu failos.
Šī nepareizā lietošana no peļņas būtu izraisījis tūkstošiem izmaiņu automātisku pārrakstīšanu, tostarp aizstājot autoru ar noklusējuma vērtību (šajā gadījumā — Linusu Torvaldu), bez Kees pamanot kļūdu tajā laikāKonstantīns Rjabicevs, b4 rīka autors, apstiprināja šo teoriju un apgalvoja, ka no Kuka puses nebija ļaunprātīgu nodomu. Patiesībā sistēma jau ģenerēja brīdinājumus, kas tika ignorēti.
Pēc situācijas noskaidrošanas Kīsa Kuka piekļuve vietnei kernel.org tika atjaunota. Kā preventīvs pasākums ir paziņots, ka rīks b4 iekļaus jaunu drošības pārbaudi, Tas turpmāk novērsīs tādu izmaiņu veikšanu kā izmaiņu veikšana, kuru autorība neatbilst pašreizējā lietotāja identitātei. Tas ir paredzēts, lai novērstu līdzīgas kļūdas un aizsargātu kodola pirmkoda integritāti.
Kīss savukārt apņēmās atjaunot skartās zarus. no atsevišķiem ielāpiem un padziļināti analizēt darbības, kas noveda pie kļūdas. Lai gan Incidents ir saspīlējis attiecības komandā kodola izstrāde ir arī uzsvērusi vēstures pārrakstīšanas rīku lietošanas piesardzību, īpaši tik kritiskos projektos kā Linux kodols.
Visbeidzot, ir vērts pieminēt, ka šis incidents starp Linusu Torvaldu un Kīsu Kuku kalpo kā brīdinājums par izmaiņu vēstures manipulēšanas briesmām un to, ka pateicoties ātrajai iejaukšanās no tiem, kas ir atbildīgi par kernel.org un procesa pārredzamību, situācija ir nonākusi kontrolē.
Visbeidzot, ja vēlaties uzzināt vairāk par to, varat iepazīties ar tālāk sniegto informāciju. saite