Der technische Rat der Linux Foundation hat einen zusammenfassenden Bericht veröffentlicht, in dem ein Vorfall mit Forschern der University of Minnesota untersucht wird, bei dem versucht wurde, Patches in den Kernel zu pushen, die versteckte Fehler enthielten, die zu Schwachstellen führten. Die Kernel-Entwickler bestätigten die zuvor veröffentlichte Information, dass von 5 im Rahmen der „Hypocrite Commits“-Studie vorbereiteten Patches 4 Patches mit Schwachstellen sofort und auf Initiative der Betreuer abgelehnt wurden und es nicht in das Kernel-Repository geschafft haben. Ein Patch wurde akzeptiert, aber er behob das Problem korrekt und enthielt keine Fehler.
Sie analysierten außerdem 435 Commits, die von Entwicklern der University of Minnesota eingereichte Patches enthielten, die nicht mit dem Experiment zur Förderung versteckter Schwachstellen in Zusammenhang standen. Seit 2018 ist eine Gruppe von Forschern der University of Minnesota recht aktiv an der Korrektur von Fehlern beteiligt. Die wiederholte Überprüfung ergab keine böswilligen Aktivitäten in diesen Commits, deckte jedoch einige unbeabsichtigte Fehler und Mängel auf.
349 Commits wurden als korrekt angesehen und unverändert gelassen. Bei 39 Commits, die behoben werden müssen, wurden Probleme gefunden. Diese Commits wurden abgebrochen und werden vor der Veröffentlichung von Kernel 5.13 durch korrektere Fixes ersetzt. Fehler in 25 Commits wurden in nachfolgenden Änderungen behoben. 12 Commits waren nicht mehr relevant, da sie Legacy-Systeme betrafen, die bereits aus dem Kernel entfernt wurden. Einer der korrekten Commits wurde auf Wunsch des Autors zurückgesetzt. 9 korrekte Commits wurden lange vor der Bildung der zu analysierenden Forschungsgruppe von @umn.edu-Adressen gesendet.
Um das Vertrauen in das Team der University of Minnesota wiederherzustellen und die Möglichkeit zurückzugeben, an der Entwicklung des Kernels mitzuwirken, hat die Linux Foundation eine Reihe von Forderungen gestellt, von denen die meisten bereits erfüllt wurden. Beispielsweise haben die Forscher bereits die Veröffentlichung von Hypocrite Commits zurückgezogen und ihre Präsentation auf dem IEEE-Symposium abgesagt sowie die gesamte Chronologie der Ereignisse öffentlich gemacht und detaillierte Informationen zu den während der Studie eingereichten Änderungen bereitgestellt.
Source: opennet.ru