Le Conseil technique de la Linux Foundation a publié un rapport de synthèse examinant un incident avec des chercheurs de l'Université du Minnesota impliquant une tentative d'insertion de correctifs dans le noyau contenant des bogues cachés conduisant à des vulnérabilités. Les développeurs du noyau ont confirmé les informations publiées précédemment selon lesquelles sur 5 correctifs préparés lors de l'étude « Hypocrite Commits », 4 correctifs présentant des vulnérabilités ont été rejetés immédiatement et à l'initiative des responsables et n'ont pas été intégrés dans le référentiel du noyau. Un correctif a été accepté, mais il corrigeait correctement le problème et ne contenait aucune erreur.
Ils ont également analysé 435 commits comprenant des correctifs soumis par des développeurs de l'Université du Minnesota qui n'étaient pas liés à l'expérience promouvant des vulnérabilités cachées. Depuis 2018, un groupe de chercheurs de l’Université du Minnesota s’implique très activement dans la correction des erreurs. Un examen répété n'a révélé aucune activité malveillante dans ces commits, mais a révélé des erreurs et des lacunes involontaires.
349 commits ont été considérés comme corrects et laissés inchangés. Des problèmes ont été trouvés dans 39 commits nécessitant une correction - ces commits ont été annulés et seront remplacés par des correctifs plus corrects avant la sortie du noyau 5.13. Les bugs dans 25 commits ont été corrigés lors des modifications ultérieures. 12 commits n'étaient plus pertinents car ils affectaient les anciens systèmes qui avaient déjà été supprimés du noyau. L'un des commits corrects a été annulé à la demande de l'auteur. 9 commits corrects ont été envoyés à partir d'adresses @umn.edu bien avant la formation du groupe de recherche analysé.
Pour restaurer la confiance dans l'équipe de l'Université du Minnesota et lui redonner l'opportunité de participer au développement du noyau, la Linux Foundation a présenté un certain nombre de demandes, dont la plupart ont déjà été satisfaites. Par exemple, les chercheurs ont déjà rétracté la publication Hypocrite Commits et annulé leur présentation au symposium de l'IEEE, et ont également divulgué publiquement la chronologie complète des événements et fourni des informations détaillées sur les changements soumis au cours de l'étude.
Source: opennet.ru