Auditoria concluída para todos os patches enviados pela Universidade de Minnesota

O conselho técnico de a Linux Foundation divulgou recentemente um relatório consolidado sobre o incidente relacionado a pesquisadores da Universidade de Minnesota o que se tornou um escândalo, pois eles tentaram introduzir patches de kernel que contêm bugs ocultos que levam a vulnerabilidades.

Os desenvolvedores do kernel confirmaram as informações publicadas anteriormente, de 5 patches preparados no curso da investigação «Hypocrite Commits», 4 patches com vulnerabilidades foram descartados imediatamente e por iniciativa dos mantenedores e não entraram no repositório do kernel.

Além disso, 435 confirmações foram analisadas, incluindo correções enviadas por desenvolvedores da Universidade de Minnesota e não relacionadas a um experimento para promover vulnerabilidades ocultas.

Em 20 de abril de 2021, dada a percepção de que um grupo de pesquisadores da Universidade de Minnesota (UMN) retomaram o embarque código que compromete o kernel do Linux.

Greg Kroah-Hartman pediu à comunidade que parasse de aceitar patches da UMN e iniciou um nova revisão de todas as submissões da Universidade aceitas anteriormente.
Este relatório resume os eventos que levaram a este ponto, analisa eo documento "Hypocrite Commits" que foi enviado para publicação, e analisa todos os commits de kernel anteriores conhecidos de autores de artigos de UMN que foi aceito em nosso repositório de código-fonte. Conclua com alguns sugestões sobre como a comunidade, incluindo UMN, pode se mover
frente. Contribuidores para este documento incluem membros Linux
Conselho Consultivo Técnico da Fundação (TAB), com a ajuda da revisão de patches de
muitos outros membros da comunidade de desenvolvedores do kernel Linux.

E desde 2018, uma equipe de pesquisadores da Universidade de Minnesota tem sido bastante ativa na correção de erros. A nova revisão não revelou nenhuma atividade maliciosa nesses commits, mas revelou alguns erros e deficiências não intencionais.

também 349 confirmações foram consideradas corretas e inalteradas. Em 39 commits, foram encontrados problemas que requerem reparo; esses commits foram cancelados e serão substituídos por correções mais corretas antes do lançamento do kernel 5.13.

Os erros em 25 commits foram corrigidos em mudanças subsequentes e 12 commits perderam sua relevância, uma vez que afetaram sistemas legados que já foram removidos do kernel. Uma das confirmações bem-sucedidas foi cancelada a pedido do autor. 9 confirmações corretas foram enviadas de endereços @ umn.edu muito antes da formação da equipe de pesquisa analisada.

Para recuperar a confiança na equipe da Universidade de Minnesota e recuperar a oportunidade de participar do desenvolvimento do kernel, a Linux Foundation propôs uma série de requisitos, muitos dos quais já foram atendidos.

A due diligence exigiu uma auditoria para identificar quais autores participaram em diferentes projetos de pesquisa da UMN, identificar a intenção de qualquer corrigir e remover patches defeituosos independentemente da intenção. Isso visa restabelecer lA confiança da comunidade nos grupos de pesquisa também é importante, poisEste incidente pode ter um impacto de longo alcance na confiança em ambos endereços que poderiam esfriar a participação de qualquer pesquisador no kernel e no desenvolvimento.

Por exemplo, os pesquisadores já retiraram a publicação de "Hypocrite Commits" e cancelaram sua palestra no Simpósio IEEE, além de divulgar publicamente a cronologia completa dos eventos e fornecer detalhes das mudanças submetidas durante o estudo.

Você tem que lembrar que Greg Kroah-Hartman, quem é responsável por manter o branch estável do kernel Linux notou o evento e tomou a decisão de negar qualquer mudança da Universidade de Minnesota para o kernel do Linuxe reverta todos os patches aceitos anteriormente e verifique-os novamente.

O motivo do bloqueio foram as atividades de um grupo de pesquisa que estuda a possibilidade de promover vulnerabilidades ocultas no código de projetos de código aberto, uma vez que este grupo tem enviado patches que incluem erros de vários tipos.

fonte: https://lore.kernel.org


Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.