Der technische Rat der Linux Foundation hat einen Bericht veröffentlicht, der den Vorfall mit Forschern der UniversitĂ€t Minnesota analysiert, bei dem versucht wurde, versteckte Fehler in Patches ins Kernel einzufĂŒhren, die zu SicherheitsanfĂ€lligkeiten fĂŒhren könnten. Die Kernel-Entwickler bestĂ€tigten zuvor veröffentlichte Informationen, dass von fĂŒnf Patches, die im Rahmen der Forschung zu "Hypocrite Commits" erstellt wurden, vier Patches mit Schwachstellen sofort abgelehnt wurden â sowohl auf Initiative der Maintainer als auch ohne Aufnahme in das Kernel-Repository. Ein Patch wurde angenommen, allerdings behob er die Probleme korrekt und enthielt keine Fehler.
Es wurden auch 435 Commits analysiert, die Korrekturen enthalten, die von Entwicklern der UniversitĂ€t Minnesota eingereicht wurden und nicht mit dem Experiment zur Förderung versteckter Schwachstellen in Verbindung stehen. Seit 2018 hat die Forschungsgruppe der UniversitĂ€t Minnesota aktiv an der Fehlerbehebung mitgewirkt. Eine erneute ĂberprĂŒfung ergab keine bösartige AktivitĂ€t in diesen Commits, fĂŒhrte jedoch zu einigen unbeabsichtigten Fehlern und MĂ€ngeln.
349 Commits wurden als korrekt anerkannt und bleiben unverĂ€ndert. In 39 Commits wurden Probleme festgestellt, die eine Korrektur erforderten â diese Commits wurden zurĂŒckgezogen und werden bis zur Veröffentlichung des Kernels 5.13 durch genauere Korrekturen ersetzt. Fehler in 25 Commits wurden in nachfolgenden Ănderungen behoben. 12 Commits verloren ihre Relevanz, da sie veraltete Systeme betrafen, die bereits aus dem Kernel entfernt wurden. Einer der korrekten Commits wurde auf Antrag des Autors zurĂŒckgezogen. 9 korrekte Commits wurden von Adressen @umn.edu gesendet, lange bevor die diskutierte Gruppe von Forschern gebildet wurde.
Um das Vertrauen in das Team der UniversitĂ€t Minnesota wiederherzustellen und die Möglichkeit zur Teilnahme an der Kernel-Entwicklung zurĂŒckzugeben, hat die Linux Foundation eine Reihe von Anforderungen gestellt, von denen die meisten bereits erfĂŒllt wurden. So haben die Forscher beispielsweise die Veröffentlichung "Hypocrite Commits" zurĂŒckgezogen und ihren Vortrag auf der IEEE Symposium abgesagt sowie öffentlich die gesamte Chronologie der Ereignisse offengelegt und detaillierte Informationen zu den wĂ€hrend der Forschung gesendeten Ănderungen bereitgestellt.
Quelle: opennet.ru
