Технический совет Linux Foundation недавно выпустила сводный отчет об инциденте связанные с исследователями из Университета Миннесоты что стало настоящим скандалом, поскольку в ядро предпринимались попытки ввести патчи, содержащие скрытые ошибки, ведущие к уязвимостям.
Разработчики ядра подтвердили опубликованную информацию. Ранее из 5 патчей, подготовленных в ходе расследования «Hypocrite Commits», 4 патча с уязвимостями были сброшены сразу и по инициативе сопровождающих и не попали в репозиторий ядра.
Кроме того, Было проанализировано 435 подтверждений, включая исправления, представленные разработчиками из Университета Миннесоты и не относящиеся к эксперименту по выявлению скрытых уязвимостей.
20 апреля 2021 г., учитывая восприятие группы исследователи из Университета Миннесоты (UMN) возобновили поставки код, компрометирующий ядро Linux.
Грег Kroah-Хартман попросил сообщество прекратить прием патчей от UMN и начал новый обзор всех ранее принятых университетских материалов.
В этом отчете суммируются события, которые привели к этому, обзоры идокумент "Hypocrite Commits", представленный для публикации, и рассматривает все известные предыдущие коммиты ядра от авторов статей UMN, которые был принят в наш исходный репозиторий. Завершить с некоторыми предложения о том, как сообщество, включая UMN, может двигаться
вперед. Среди авторов этого документа - члены Linux.
Технический консультативный совет (TAB) Фонда, с помощью обзора исправлений
многие другие члены сообщества разработчиков ядра Linux.
А с 2018 года команда исследователей из Университета Миннесоты довольно активно исправляет ошибки. Новый обзор не выявил вредоносной активности в этих коммитах, но выявил некоторые непреднамеренные ошибки и недостатки.
также Сообщается, что 349 подтверждений были признаны правильными и неизменными.. В 39 коммитах были обнаружены проблемы, требующие ремонта; эти коммиты были отменены и будут заменены более правильными исправлениями до выпуска ядра 5.13.
Ошибки в 25 коммитов были исправлены в последующих изменениях и 12 коммитов утратили актуальность, поскольку они затронули устаревшие системы, которые уже были удалены из ядра. Одно из успешных подтверждений было отменено по просьбе автора. 9 правильных подтверждений были отправлены с адресов @ umn.edu задолго до формирования анализируемой исследовательской группы.
Чтобы вернуть доверие к команде Университета Миннесоты и получить возможность участвовать в разработке ядра, Linux Foundation предложил ряд требований, большинство из которых уже выполнено.
Должная осмотрительность требовала аудита, чтобы определить, какие авторы участвовали в различных исследовательских проектах UMN выявлять намерения любого исправлять и удалять неисправные исправления независимо от намерения. Это пытается восстановить lДоверие сообщества к исследовательским группам также важно, поскольку оноЭтот инцидент может иметь далеко идущие последствия для уверенности в обоих адреса, которые могут охладить участие любого исследователя в ядре и в развитие.
Например, исследователи уже отозвали публикацию «Hypocrite Commits» и отменили свое выступление на симпозиуме IEEE в дополнение к публичному раскрытию полной хронологии событий и предоставлению деталей изменений, представленных в ходе исследования.
Вы должны помнить это Грег Кроа-Хартман, ответственный за поддержку стабильной ветки ядра Linux заметил это событие и предпринял решение отклонить любые изменения из Миннесотского университета в ядро Linux, и отменить все ранее принятые исправления и перепроверить их.
Причиной блокады стала деятельность исследовательской группы. который изучает возможность продвижения скрытых уязвимостей в коде проектов с открытым исходным кодом, так как эта группа отправила патчи, которые включают ошибки различных типов.
источник: https://lore.kernel.org