De technische raad van de Linux Foundation heeft onlangs een geconsolideerd rapport over het incident uitgebracht gerelateerd aan onderzoekers van de Universiteit van Minnesota wat een behoorlijk schandaal werd, aangezien ze pogingen deden om patches in de kernel te introduceren die verborgen fouten bevatten die tot kwetsbaarheden leiden.
De kernelontwikkelaars hebben de gepubliceerde informatie bevestigd voorheen werden van de 5 patches die in de loop van het «Hypocrite Commits» -onderzoek waren voorbereid, 4 patches met kwetsbaarheden onmiddellijk en op initiatief van de beheerders verwijderd en kwamen niet in de kernelrepository terecht.
Bovendien heeft 435 bevestigingen werden geanalyseerd, inclusief fixes die zijn ingediend door ontwikkelaars van de Universiteit van Minnesota en niet gerelateerd zijn aan een experiment om verborgen kwetsbaarheden te promoten.
Op 20 april 2021, gezien de perceptie dat een groep onderzoekers van de University of Minnesota (UMN) hadden de scheepvaart hervat code die de Linux-kernel in gevaar brengt.
Greg Kroah-Hartman vroeg de community om te stoppen met het accepteren van patches van UMN en startte een nieuwe beoordeling van alle eerder geaccepteerde universitaire inzendingen.
Dit rapport geeft een overzicht van de gebeurtenissen die tot dit punt hebben geleid, beoordelingen enhet document "Hypocriet commits" dat voor publicatie was ingediend, en herziet alle bekende eerdere kernel commits van UMN-artikelauteurs die is geaccepteerd in onze bronrepository. Sluit af met wat suggesties over hoe de gemeenschap, inclusief UMN, kan bewegen
vooruit. Bijdragers aan dit document zijn onder meer Linux-leden
Technische Adviesraad (TAB) van de Stichting, met behulp van patch review van
vele andere leden van de gemeenschap van Linux-kernelontwikkelaars.
En is dat sinds 2018 een team van onderzoekers van de Universiteit van Minnesota behoorlijk actief is geweest in het corrigeren van fouten. De nieuwe review bracht geen kwaadaardige activiteit in deze commits aan het licht, maar het bracht wel enkele onbedoelde fouten en tekortkomingen aan het licht.
ook 349 bevestigingen worden gerapporteerd als correct en ongewijzigd. In 39 commits werden problemen gevonden die gerepareerd moesten worden; deze commits zijn geannuleerd en zullen worden vervangen door correctere reparaties voordat kernel 5.13 wordt vrijgegeven.
De fouten in 25 commits zijn opgelost in latere wijzigingen en 12 commits verloren hun relevantie, omdat ze legacysystemen troffen die al uit de kernel waren verwijderd. Een van de juiste bevestigingen is op verzoek van de auteur geannuleerd. 9 correcte bevestigingen werden verzonden vanaf @ umn.edu-adressen lang voor de vorming van het geanalyseerde onderzoeksteam.
Om het vertrouwen in het University of Minnesota-team te herwinnen en de kans te herwinnen om deel te nemen aan kernelontwikkeling, heeft de Linux Foundation een aantal vereisten voorgesteld, waarvan de meeste al zijn vervuld.
Due diligence vereiste een audit om te bepalen welke auteurs hebben deelgenomen identificeer in verschillende onderzoeksprojecten van het UMN de bedoeling van elk patch en verwijder defecte patches, ongeacht de bedoeling. Dit tracht lHet vertrouwen van de gemeenschap in onderzoeksgroepen is ook belangrijk, aangezien hetDit incident kan verstrekkende gevolgen hebben voor het vertrouwen in beide adressen die de deelname van een onderzoeker aan de kernel en in het ontwikkelen.
De onderzoekers hebben bijvoorbeeld de publicatie van "Hypocrite Commits" al ingetrokken en hun toespraak op het IEEE Symposium geannuleerd, naast het publiekelijk bekendmaken van de volledige chronologie van de gebeurtenissen en het verstrekken van details over de wijzigingen die tijdens het onderzoek zijn ingediend.
Dat moet je onthouden Greg Kroah-Hartman, die verantwoordelijk is voor het onderhouden van de stabiele tak van de Linux-kernel merkte de gebeurtenis op en nam het besluit om wijzigingen van de Universiteit van Minnesota naar de Linux-kernel te weigeren, en zet alle eerder geaccepteerde patches terug en controleer ze opnieuw.
Aanleiding voor de blokkade waren de activiteiten van een onderzoeksgroep dat de mogelijkheid onderzoekt om verborgen kwetsbaarheden in de code van open source-projecten te promoten, aangezien deze groep patches heeft gestuurd die verschillende soorten fouten bevatten.
bron: https://lore.kernel.org