Hội đồng kỹ thuật của Quỹ Linux gần đây đã phát hành một báo cáo tổng hợp về sự cố liên quan đến các nhà nghiên cứu từ Đại học Minnesota đã trở thành một vụ bê bối, khi họ cố gắng giới thiệu các bản vá nhân có chứa các lỗi tiềm ẩn dẫn đến các lỗ hổng.
Các nhà phát triển nhân đã xác nhận thông tin được công bố trước đó, trong số 5 bản vá được chuẩn bị trong quá trình điều tra «Các cam kết đạo đức giả», 4 bản vá có lỗ hổng bảo trì đã bị loại bỏ ngay lập tức theo sáng kiến của người bảo trì và không được đưa vào kho chứa hạt nhân.
Bên cạnh đó, 435 xác nhận đã được phân tích, bao gồm các bản sửa lỗi được gửi bởi các nhà phát triển từ Đại học Minnesota và không liên quan đến một thử nghiệm để quảng bá các lỗ hổng ẩn.
Vào ngày 20 tháng 2021 năm XNUMX, với nhận thức rằng một nhóm các nhà nghiên cứu tại Đại học Minnesota (UMN) đã tiếp tục vận chuyển mã xâm nhập nhân Linux.
Greg Kroah-Hartman đã yêu cầu cộng đồng ngừng chấp nhận các bản vá từ UMN và bắt đầu đánh giá mới của tất cả các bài nộp của trường Đại học đã được chấp nhận trước đó.
Báo cáo này tóm tắt các sự kiện dẫn đến thời điểm này, đánh giá vàtài liệu "Cam kết đạo đức giả" đã được gửi để xuất bản và xem xét tất cả các cam kết hạt nhân đã biết trước đó từ các tác giả bài báo UMN đã được chấp nhận vào kho lưu trữ nguồn của chúng tôi. Kết luận với một số đề xuất về cách cộng đồng, bao gồm cả UMN, có thể di chuyển
ở đằng trước. Những người đóng góp cho tài liệu này bao gồm các thành viên Linux
Ban cố vấn kỹ thuật nền tảng (TAB), với sự trợ giúp của việc xem xét bản vá từ
nhiều thành viên khác của cộng đồng nhà phát triển nhân Linux.
Và kể từ năm 2018, một nhóm các nhà nghiên cứu từ Đại học Minnesota đã hoạt động khá tích cực trong việc sửa lỗi. Đánh giá mới không tiết lộ bất kỳ hoạt động độc hại nào trong các cam kết này, nhưng nó đã tiết lộ một số lỗi và thiếu sót không cố ý.
cũng 349 xác nhận được báo cáo là đã được coi là đúng và không thay đổi. Trong 39 lần cam kết, các vấn đề cần sửa chữa đã được tìm thấy; các cam kết này đã bị hủy và sẽ được thay thế bằng các bản sửa lỗi chính xác hơn trước khi kernel 5.13 được phát hành.
Các lỗi trong 25 cam kết đã được sửa trong các thay đổi tiếp theo và 12 cam kết không còn phù hợp nữa, vì chúng ảnh hưởng đến các hệ thống kế thừa đã bị xóa khỏi hạt nhân. Một trong những xác nhận thành công đã được hủy bỏ theo yêu cầu của tác giả. 9 xác nhận đúng đã được gửi từ địa chỉ @ umn.edu rất lâu trước khi thành lập nhóm nghiên cứu được phân tích.
Để lấy lại niềm tin vào nhóm Đại học Minnesota và lấy lại cơ hội tham gia vào quá trình phát triển hạt nhân, Linux Foundation đã đề xuất một số yêu cầu, hầu hết đều đã được đáp ứng.
Thẩm định yêu cầu một cuộc đánh giá để xác định những tác giả nào đã tham gia trong các dự án nghiên cứu khác nhau của UMN, xác định ý định của bất kỳ vá và loại bỏ các bản vá lỗi bất kể chủ ý. Điều này tìm cách thiết lập lại lSự tin tưởng của cộng đồng vào các nhóm nghiên cứu cũng rất quan trọng, vì nóSự cố này có thể ảnh hưởng sâu rộng đến niềm tin của cả hai các địa chỉ có thể làm giảm sự tham gia của bất kỳ nhà nghiên cứu nào vào hạt nhân và trong đang phát triển.
Ví dụ: các nhà nghiên cứu đã rút lại việc xuất bản "Cam kết đạo đức giả" và hủy cuộc nói chuyện của họ tại Hội nghị chuyên đề IEEE, cũng như tiết lộ công khai trình tự đầy đủ của các sự kiện và cung cấp chi tiết về những thay đổi được gửi trong quá trình nghiên cứu.
Chúng ta phải nhớ rằng Greg Kroah-Hartman, người chịu trách nhiệm duy trì nhánh ổn định của nhân Linux đã nhận thấy sự kiện này và quyết định từ chối mọi thay đổi từ Đại học Minnesota sang nhân Linuxvà hoàn nguyên tất cả các bản vá đã được chấp nhận trước đó và kiểm tra lại chúng.
Lý do phong tỏa là hoạt động của một nhóm nghiên cứu nghiên cứu khả năng thúc đẩy các lỗ hổng ẩn trong mã của các dự án nguồn mở, vì nhóm này đã gửi các bản vá bao gồm các lỗi thuộc nhiều loại khác nhau.
Fuente: https://lore.kernel.org