Revizija je končana za vse popravke, ki jih je predložila Univerza v Minnesoti

Tehnični svet fundacija Linux je nedavno objavila konsolidirano poročilo o incidentu povezane z raziskovalci z univerze v Minnesoti kar je postalo kar škandal, saj so v jedru poskušali uvesti popravke, ki vsebujejo skrite napake, ki vodijo do ranljivosti.

Razvijalci jedra so potrdili objavljene informacije prej so bili med petimi popravki, pripravljenimi med preiskavo »Hypocrite Commits«, 5 popravki z ranljivostmi zavrženi takoj in na pobudo vzdrževalcev ter niso vstopili v skladišče jedra.

Poleg tega, Analiziranih je bilo 435 potrditev, vključno s popravki, ki so jih predložili razvijalci z Univerze v Minnesoti in niso povezani s poskusom za spodbujanje skritih ranljivosti.

20. aprila 2021, glede na dojemanje, da je skupina raziskovalci na Univerzi v Minnesoti (UMN) so nadaljevali ladijski promet koda, ki ogroža jedro Linuxa.

Greg Kroah-Hartman prosil skupnost, naj preneha sprejemati popravke iz UMN, in začel program nov pregled vseh prej sprejetih prijav Univerze.
To poročilo povzema dogodke, ki so privedli do te točke, preglede in- dokument "Hinavske zaveze", ki je bil oddan v objavo, in pregleda vse znane prejšnje prevzeme jedra avtorjev člankov UMN, ki je bil sprejet v naše izvorno skladišče. Zaključite z nekaterimi predloge, kako se lahko giblje skupnost, vključno z UMN
naprej. Prispevalci tega dokumenta so člani Linuxa
Temeljni tehnični svetovalni odbor (TAB) s pomočjo pregleda popravkov iz
mnogi drugi člani skupnosti razvijalcev jedra Linux.

In od leta 2018 je skupina raziskovalcev z Univerze v Minnesoti precej dejavna pri odpravljanju napak. Novi pregled ni razkril nobene zlonamerne dejavnosti v teh zavezah, je pa razkril nekaj nenamernih napak in pomanjkljivosti.

prav tako 349 potrditev naj bi bilo pravilnih in nespremenjenih. V 39 zavezah so bile ugotovljene težave, ki zahtevajo popravilo; ti predaji so bili preklicani in bodo nadomeščeni z bolj pravilnimi popravki, preden bo izdano jedro 5.13.

Napake v 25 naknadnih sprememb je bilo določenih v poznejših spremembah, 12 pa je izgubilo svojo veljavo, saj so vplivali na starejše sisteme, ki so bili že odstranjeni iz jedra. Ena od uspešnih potrditev je bila preklicana na zahtevo avtorja. 9 pravilnih potrditev je bilo poslanih z naslovov @ umn.edu že veliko pred oblikovanjem analizirane raziskovalne skupine.

Za ponovno pridobitev zaupanja v ekipo Univerze v Minnesoti in ponovno pridobitev možnosti sodelovanja pri razvoju jedra je fundacija Linux predlagala številne zahteve, ki so bile večini že izpolnjene.

Skrbnost je zahtevala revizijo, da se ugotovi, kateri avtorji so sodelovali v različnih raziskovalnih projektih UMN določite namen katerega koli popravite in odstranite napačne popravke ne glede na namen. To skuša ponovno vzpostaviti lTudi zaupanje skupnosti v raziskovalne skupine je pomembnoTa incident bi lahko daljnosežno vplival na zaupanje obeh naslove, ki bi lahko ohladili sodelovanje katerega koli raziskovalca v jedru in razvija.

Na primer, raziskovalci so že umaknili publikacijo "Hypocrite Commits" in odpovedali svoj govor na simpoziju IEEE, poleg tega pa so javno razkrili celotno kronologijo dogodkov in navedli podrobnosti sprememb, predloženih med študijo.

Tega se moramo spomniti Greg Kroah-Hartman, ki je odgovoren za vzdrževanje stabilne veje jedra Linuxa, je dogodek opazil in vzel odločitev o zavrnitvi sprememb Univerze v Minnesoti v jedru Linuxain povrnite vse prej sprejete popravke in jih znova obiščite.

Razlog za blokado so bile dejavnosti raziskovalne skupine ki preučuje možnost promocije skritih ranljivosti v kodi odprtokodnih projektov, saj je ta skupina poslala popravke, ki vključujejo napake različnih vrst.

vir: https://lore.kernel.org


Bodite prvi komentar

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.