O conselho técnico de a Linux Foundation divulgou recentemente um relatório consolidado sobre o incidente relacionado a pesquisadores da Universidade de Minnesota o que se tornou um escândalo, pois eles tentaram introduzir patches de kernel que contêm bugs ocultos que levam a vulnerabilidades.
Os desenvolvedores do kernel confirmaram as informações publicadas anteriormente, de 5 patches preparados no curso da investigação «Hypocrite Commits», 4 patches com vulnerabilidades foram descartados imediatamente e por iniciativa dos mantenedores e não entraram no repositório do kernel.
Além disso, 435 confirmações foram analisadas, incluindo correções enviadas por desenvolvedores da Universidade de Minnesota e não relacionadas a um experimento para promover vulnerabilidades ocultas.
Em 20 de abril de 2021, dada a percepção de que um grupo de pesquisadores da Universidade de Minnesota (UMN) retomaram o embarque código que compromete o kernel do Linux.
Greg Kroah-Hartman pediu à comunidade que parasse de aceitar patches da UMN e iniciou um nova revisão de todas as submissões da Universidade aceitas anteriormente.
Este relatório resume os eventos que levaram a este ponto, analisa eo documento "Hypocrite Commits" que foi enviado para publicação, e analisa todos os commits de kernel anteriores conhecidos de autores de artigos de UMN que foi aceito em nosso repositório de código-fonte. Conclua com alguns sugestões sobre como a comunidade, incluindo UMN, pode se mover
frente. Contribuidores para este documento incluem membros Linux
Conselho Consultivo Técnico da Fundação (TAB), com a ajuda da revisão de patches de
muitos outros membros da comunidade de desenvolvedores do kernel Linux.
E desde 2018, uma equipe de pesquisadores da Universidade de Minnesota tem sido bastante ativa na correção de erros. A nova revisão não revelou nenhuma atividade maliciosa nesses commits, mas revelou alguns erros e deficiências não intencionais.
também 349 confirmações foram consideradas corretas e inalteradas. Em 39 commits, foram encontrados problemas que requerem reparo; esses commits foram cancelados e serão substituídos por correções mais corretas antes do lançamento do kernel 5.13.
Os erros em 25 commits foram corrigidos em mudanças subsequentes e 12 commits perderam sua relevância, uma vez que afetaram sistemas legados que já foram removidos do kernel. Uma das confirmações bem-sucedidas foi cancelada a pedido do autor. 9 confirmações corretas foram enviadas de endereços @ umn.edu muito antes da formação da equipe de pesquisa analisada.
Para recuperar a confiança na equipe da Universidade de Minnesota e recuperar a oportunidade de participar do desenvolvimento do kernel, a Linux Foundation propôs uma série de requisitos, muitos dos quais já foram atendidos.
A due diligence exigiu uma auditoria para identificar quais autores participaram em diferentes projetos de pesquisa da UMN, identificar a intenção de qualquer corrigir e remover patches defeituosos independentemente da intenção. Isso visa restabelecer lA confiança da comunidade nos grupos de pesquisa também é importante, poisEste incidente pode ter um impacto de longo alcance na confiança em ambos endereços que poderiam esfriar a participação de qualquer pesquisador no kernel e no desenvolvimento.
Por exemplo, os pesquisadores já retiraram a publicação de "Hypocrite Commits" e cancelaram sua palestra no Simpósio IEEE, além de divulgar publicamente a cronologia completa dos eventos e fornecer detalhes das mudanças submetidas durante o estudo.
Você tem que lembrar que Greg Kroah-Hartman, quem é responsável por manter o branch estável do kernel Linux notou o evento e tomou a decisão de negar qualquer mudança da Universidade de Minnesota para o kernel do Linuxe reverta todos os patches aceitos anteriormente e verifique-os novamente.
O motivo do bloqueio foram as atividades de um grupo de pesquisa que estuda a possibilidade de promover vulnerabilidades ocultas no código de projetos de código aberto, uma vez que este grupo tem enviado patches que incluem erros de vários tipos.
fonte: https://lore.kernel.org