المجلس الفني للمنظمة Linux Foundation опубликовал сводный отчёт с разбором инцидента с исследователями из Университета Миннесоты, связанного с попыткой продвижения в ядро патчей, содержащих скрытые ошибки, приводящие к уязвимостям. Разработчики ядра подтвердили ранее опубликованную информацию о том, что из 5 патчей, подготовленных в ходе исследования «Hypocrite Commits», 4 патча с уязвимостями были отвергнуты сразу и по инициативе мэйнтейнеров и не попали в репозиторий ядра. Один патч был принят, но он корректно исправлял проблему и не содержал ошибок.
لقد قمنا أيضًا بتحليل 435 التزامًا تضمنت إصلاحات قدمها مطورون في جامعة مينيسوتا ولم تكن مرتبطة بتجربة الترويج للثغرات الأمنية المخفية. منذ عام 2018، شارك فريق من الباحثين من جامعة مينيسوتا بشكل نشط في إصلاح الأخطاء. ولم يكشف الاستعراض الثاني عن أي نشاط ضار في هذه الالتزامات، لكنه كشف عن بعض الأخطاء غير المقصودة والنقائص.
تم اعتبار 349 التزامًا صحيحًا وتركها دون تغيير. تم العثور على 39 التزامًا بها مشكلات تتطلب الإصلاح - وقد تم عكس هذه الالتزامات وسيتم استبدالها بإصلاحات أكثر صحة قبل إصدار kernel 5.13. تم إصلاح الأخطاء في 25 التزامًا في التغييرات اللاحقة. لم تعد الالتزامات الـ 12 ذات صلة لأنها أثرت على الأنظمة القديمة التي تمت إزالتها بالفعل من النواة. تم إرجاع أحد الالتزامات الصحيحة بناءً على طلب المؤلف. تم إرسال 9 عمليات التزام صالحة من عناوين @umn.edu قبل فترة طويلة من تشكيل مجموعة البحث المعنية.
Для восстановления доверия к команде из Университета Миннесоты и возвращения возможности участия в разработке ядра организация Linux Foundation выдвинула ряд требований, большая часть из которых уже выполнена. Например, исследователи уже отозвали публикацию «Hypocrite Commits» и отменили своё выступление на конференции IEEE Symposium, а также публично раскрыли всю хронологию событий и предоставили детальную информацию об отправленных в ходе исследования изменениях.
المصدر: opennet.ru
