Tehničko vijeće organizacije Linux Zaklada je objavila sažeto izvješće u kojem se ispituje incident u koji su bili uključeni istraživači sa Sveučilišta u Minnesoti, a koji je uključivao pokušaj ubacivanja zakrpa koje sadrže skrivene ranjivosti u jezgru. Razvojni programeri jezgre potvrdili su prethodno objavljene informacije da su od pet zakrpa pripremljenih tijekom istraživanja "Hypocrite Commits", četiri ranjive zakrpe u potpunosti odbijene od strane održavatelja i nisu uključene u repozitorij jezgre. Jedna zakrpa je prihvaćena, ali je ispravno riješila problem i nije sadržavala greške.
Također smo analizirali 435 commitova koji sadrže ispravke koje su poslali programeri sa Sveučilišta u Minnesoti, a nisu povezani s eksperimentom iskorištavanja skrivenih ranjivosti. Od 2018. godine, grupa istraživača sa Sveučilišta u Minnesoti aktivno je uključena u ispravke programskih pogrešaka. Ponovni pregled nije otkrio nikakvu zlonamjernu aktivnost u tim commitima, ali je otkrio neke nenamjerne pogreške i propuste.
349 commitova smatrano je ispravnim i ostavljeno je nepromijenjenim. Problemi koji zahtijevaju ispravke otkriveni su u 39 commitova; ti su commiti vraćeni i bit će zamijenjeni ispravnijim ispravcima prije izlaska kernela 5.13. Greške u 25 commitova ispravljene su u kasnijim promjenama. Dvanaest commitova više nije bilo relevantno jer su utjecali na naslijeđene sustave koji su u međuvremenu uklonjeni iz kernela. Jedan od ispravnih commitova vraćen je na zahtjev autora. Devet ispravnih commitova poslano je s adresa @umn.edu mnogo prije formiranja dotične istraživačke skupine.
Kako bi se vratilo povjerenje u tim Sveučilišta u Minnesoti i vratila prilika za sudjelovanje u razvoju jezgre, organizacija Linux Zaklada je postavila niz zahtjeva, od kojih je većina već ispunjena. Primjerice, istraživači su već povukli svoju publikaciju "Hypocrite Commits" i otkazali svoju prezentaciju na IEEE simpoziju, a javno su otkrili cijeli vremenski slijed događaja i pružili detaljne informacije o promjenama podnesenim tijekom studije.
Izvor: opennet.ru
