Audyt zakończony dla wszystkich poprawek przesłanych przez University of Minnesota

Rada Techniczna Linux Foundation niedawno opublikowała skonsolidowany raport o tym incydencie związane z badaczami z University of Minnesota co stało się sporym skandalem, ponieważ podjęli próby wprowadzenia do jądra poprawek zawierających ukryte błędy, które prowadzą do luk w zabezpieczeniach.

Twórcy jądra potwierdzili opublikowane informacje poprzednio z 5 poprawek przygotowanych w trakcie dochodzenia „Obłudnicy” 4 łaty z lukami zostały natychmiast odrzucone z inicjatywy opiekunów i nie trafiły do ​​repozytorium jądra.

Ponadto, Przeanalizowano 435 potwierdzeń, w tym poprawki przesłane przez programistów z University of Minnesota i niezwiązane z eksperymentem promującym ukryte luki w zabezpieczeniach.

20 kwietnia 2021 r., Biorąc pod uwagę wrażenie, że grupa naukowcy z University of Minnesota (UMN) wznowili wysyłkę kod naruszający jądro Linuksa.

Greg Kroah-Hartman poprosił społeczność, aby przestała akceptować poprawki z UMN i rozpoczęła nowa recenzja wszystkich wcześniej zaakceptowanych zgłoszeń na uniwersytet.
Ten raport podsumowuje wydarzenia, które doprowadziły do ​​tego momentu, przeglądy idokument „Obłudnicy”, który został przedłożony do publikacji, oraz przegląd wszystkich znanych wcześniejszych zatwierdzeń jądra od autorów artykułów UMN, że został przyjęty do naszego repozytorium źródłowego. Zakończ z niektórymi sugestie, jak społeczność, w tym UMN, może się poruszać
Naprzód. Współtwórcami tego dokumentu są członkowie systemu Linux
Foundation Technical Advisory Board (TAB), z pomocą przeglądu poprawek z
wielu innych członków społeczności programistów jądra Linuksa.

Od 2018 roku zespół naukowców z University of Minnesota jest dość aktywny w poprawianiu błędów. Nowa recenzja nie ujawniła żadnej złośliwej aktywności w tych zatwierdzeniach, ale ujawniła pewne niezamierzone błędy i niedociągnięcia.

również Zgłoszono 349 potwierdzeń uznanych za prawidłowe i niezmienione. W 39 zgłoszeniach stwierdzono problemy wymagające naprawy; te zatwierdzenia zostały anulowane i zostaną zastąpione bardziej poprawnymi poprawkami przed wydaniem jądra 5.13.

Błędy w 25 zatwierdzeń zostało naprawionych w kolejnych zmianach, a 12 utraciło znaczenie, ponieważ dotyczyły starszych systemów, które zostały już usunięte z jądra. Jedno z poprawnych potwierdzeń zostało anulowane na prośbę autora. 9 poprawnych potwierdzeń przesłano z adresów @ umn.edu na długo przed utworzeniem analizowanego zespołu badawczego.

Aby odzyskać zaufanie do zespołu University of Minnesota i odzyskać możliwość uczestniczenia w rozwoju jądra, Linux Foundation zaproponowała szereg wymagań, z których większość została już spełniona.

Należyta staranność wymagała przeprowadzenia audytu w celu ustalenia, którzy autorzy brali udział w różnych projektach badawczych UMN, określ intencje któregokolwiek łatać i usuwać wadliwe łaty niezależnie od zamiaru. To ma na celu przywrócenie lOd tego czasu ważne jest również zaufanie społeczności do grup badawczychTen incydent może mieć daleko idący wpływ na zaufanie do obu adresy, które mogłyby ochłodzić udział każdego badacza w jądrze i w rozwijający się.

Na przykład naukowcy wycofali już publikację „Obłudników” i odwołali swój referat na sympozjum IEEE, oprócz publicznego ujawnienia pełnej chronologii wydarzeń i podania szczegółów zmian zgłoszonych w trakcie badania.

Musimy to pamiętać Grega Kroah-Hartmana, który jest odpowiedzialny za utrzymanie stabilnej gałęzi jądra Linuksa zauważył to zdarzenie i zajął się decyzja o odrzuceniu jakichkolwiek zmian z University of Minnesota w jądrze Linuksai przywróć wszystkie wcześniej zaakceptowane poprawki i sprawdź je ponownie.

Powodem blokady była działalność grupy badawczej która bada możliwość promowania ukrytych luk w kodzie projektów open source, ponieważ ta grupa wysłała łatki zawierające błędy różnego typu.

źródło: https://lore.kernel.org


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.