Technická rada v Linux Foundation nedávno vydala konsolidovanú správu o incidente súvisiace s výskumníkmi z univerzity v Minnesote ktorý sa stal škandálom, pretože sa pokúšali zaviesť opravy jadra, ktoré obsahujú skryté chyby, ktoré vedú k zraniteľnostiam.
Vývojári jadra zverejnené informácie potvrdili predtým boli z 5 opráv pripravených v priebehu vyšetrovania „Hypocrite Commits“ 4 opravy so zraniteľnosťou okamžite a na podnet správcov zahodené a nevstúpili do úložiska jadra.
Okrem toho, Analyzovalo sa 435 potvrdení, vrátane opráv odoslaných vývojármi z Minnesotskej univerzity a nesúvisiacich s experimentom propagujúcim skryté chyby zabezpečenia.
20. apríla 2021, vzhľadom na vnímanie, že skupina vedci z University of Minnesota (UMN) obnovili prepravu kód ohrozujúci jadro Linuxu.
Greg Kroah-Hartman požiadal komunitu, aby prestala prijímať patche z UMN a začala a nová kontrola všetkých predtým prijatých príspevkov univerzity.
Táto správa sumarizuje udalosti, ktoré viedli k tomuto bodu, recenzie a- dokument "Záväzky pokrytca", ktorý bol predložený na zverejnenie, a - kontroluje všetky známe predchádzajúce potvrdenia jadra od autorov článkov UMN, že bol prijatý do nášho zdrojového úložiska. Na záver s niektorými návrhy, ako sa môže komunita vrátane UMN pohybovať
dopredu. Medzi prispievateľov do tohto dokumentu patria členovia systému Linux
Foundation Technical Advisory Board (TAB), s pomocou kontroly opráv od
mnoho ďalších členov komunity vývojárov jadra Linuxu.
A od roku 2018 je tím výskumníkov z University of Minnesota dosť aktívny pri opravovaní chýb. Nová kontrola neodhalila žiadnu škodlivú aktivitu v týchto záväzkoch, odhalila však niektoré neúmyselné chyby a nedostatky.
tiež Uvádza sa, že 349 potvrdení bolo považovaných za správne a nezmenené. Pri 39 spáchaniach sa našli problémy vyžadujúce opravu; tieto potvrdenia boli zrušené a budú nahradené správnejšími opravami pred vydaním jadra 5.13.
Chyby v 25 záväzkov bolo opravených v následných zmenách a 12 záväzkov stratilo význam, pretože ovplyvnili staršie systémy, ktoré už boli z jadra odstránené. Jedno z úspešných potvrdení bolo na žiadosť autora zrušené. 9 správnych potvrdení bolo zaslaných z adries @ umn.edu dlho pred zostavením analyzovaného výskumného tímu.
Aby znovu získala dôveru v tím University of Minnesota a získala možnosť podieľať sa na vývoji jadra, Linux Foundation navrhla niekoľko požiadaviek, z ktorých väčšina už bola splnená.
Na zistenie, ktorí autori sa zúčastnili, bola potrebná kontrola v rôznych výskumných projektoch UMN identifikujte zámer každého z nich opravte a odstráňte chybné opravy bez ohľadu na úmysel. Snaží sa o obnovenie lDôležitá je tiež dôvera komunity vo výskumné skupinyTento incident by mohol mať ďalekosiahly dopad na dôveru v obidve adresy, ktoré by mohli ochladiť účasť ktoréhokoľvek výskumného pracovníka v jadre av rozvoj.
Vedci napríklad už stiahli publikáciu „Hypocrite Commits“ a zrušili svoje prednášky na sympóziu IEEE. Verejne tiež zverejňujú celú chronológiu udalostí a poskytujú podrobnosti o zmenách predložených počas štúdie.
Musíte si to pamätať Greg Kroah-Hartman, kto je zodpovedný za udržiavanie stabilnej vetvy linuxového jadra, si túto udalosť všimol a vzal rozhodnutie odmietnuť akékoľvek zmeny z University of Minnesota na jadro Linuxu, a vrátiť späť všetky predtým prijaté opravy a znova ich skontrolovať.
Dôvodom blokády boli aktivity výskumnej skupiny ktorá skúma možnosť podpory skrytých slabých miest v kóde projektov open source, pretože táto skupina zaslala opravy, ktoré obsahujú chyby rôznych typov.
Fuente: https://lore.kernel.org