的技术委员会 Linux Foundation最近发布了有关此事件的综合报告 与研究人员有关 来自明尼苏达大学 当他们试图引入包含可能导致漏洞的隐藏错误的内核补丁时,这已成为丑闻。
内核开发人员确认了已发布的信息 以前,在“ Hypocrite Commits”调查过程中准备的5个补丁中,有4个具有漏洞的补丁在维护人员的主动下被立即丢弃,没有进入内核存储库。
另外, 分析了435个确认信息, 包括由明尼苏达大学的开发人员提交的修补程序,这些修补程序与提升隐藏的漏洞的实验无关。
鉴于20年2021月XNUMX日, 明尼苏达大学(UMN)的研究人员已恢复运输 危害Linux内核的代码。
格雷格·克鲁亚·哈特曼 要求社区停止接受来自UMN的补丁,并开始 对所有以前接受的大学论文的新评论。
本报告总结了导致这一情况的事件,并进行了回顾和已提交发布的“伪君子承诺”文档,以及 回顾了来自UMN文章作者的所有已知的先前的内核提交, 已被接受到我们的源存储库中。 总结一下 有关社区(包括UMN)如何移动的建议
向前。 本文档的贡献者包括Linux成员
基金会技术咨询委员会(TAB),借助来自
Linux内核开发人员社区的许多其他成员。
自2018年以来,明尼苏达大学(University of Minnesota)的一组研究人员一直非常积极地纠正错误。 新的审查没有揭示这些提交中的任何恶意活动,但确实揭示了一些无意的错误和缺点。
还 报告的349条确认正确无误。 在39次提交中,发现了需要修复的问题。 这些提交已被取消,将在发布内核5.13之前用更正确的修复程序代替。
中的错误 在后续更改中修复了25个提交,而12个提交失去了相关性, 因为它们影响了已经从内核中删除的旧系统。 应提交人的要求,其中一项成功的确认被取消。 @ umn.edu地址发送了9份正确的确认书,早于组成被分析的研究小组的时间。
为了重新获得对明尼苏达大学团队的信任并重新获得参与内核开发的机会,Linux基金会提出了许多要求,其中大多数要求已经得到满足。
尽职调查要求进行审核,以确定哪些作者参与了 在UMN的不同研究项目中,确定任何人的意图 修补并删除有问题的修补程序,无论意图如何。 有了这个,l的恢复社区对研究小组的信任也很重要,因为此事件可能会对双方的信心产生深远影响 可能会冷却任何研究人员参与内核和内核的地址 发展。
例如,除了公开披露事件的全部时间顺序并提供研究过程中提交的更改的详细信息之外,研究人员已经撤回了“ Hypocrite Commits”的出版物,并取消了在IEEE Symposium上的演讲。
你必须记住这一点 格雷格·克鲁亚·哈特曼, 负责维护Linux内核稳定分支的人员注意到了该事件,并采取了 决定拒绝从明尼苏达大学到Linux内核的任何更改,然后还原所有以前接受的补丁并重新检查它们。
封锁的原因是一个研究小组的活动 该小组研究了在开源项目代码中提升隐藏漏洞的可能性,因为该小组已发送了包含各种类型错误的补丁程序。
数据来源: https://lore.kernel.org