Il Linux Foundation Technical Council ha pubblicato un rapporto riassuntivo che esamina un incidente con ricercatori dell'Università del Minnesota che coinvolgeva un tentativo di inserire patch nel kernel che contenevano bug nascosti che portavano a vulnerabilità. Gli sviluppatori del kernel hanno confermato l'informazione precedentemente pubblicata che delle 5 patch preparate durante lo studio "Hypocrite Commits", 4 patch con vulnerabilità sono state rifiutate immediatamente e su iniziativa dei manutentori e non sono entrate nel repository del kernel. È stata accettata una patch, ma correggeva correttamente il problema e non conteneva errori.
Hanno anche analizzato 435 commit che includevano patch inviate da sviluppatori dell'Università del Minnesota che non erano correlate all'esperimento che promuoveva vulnerabilità nascoste. Dal 2018 un gruppo di ricercatori dell’Università del Minnesota è impegnato attivamente nella correzione degli errori. L'esame ripetuto non ha rivelato alcuna attività dannosa in questi commit, ma ha rivelato alcuni errori e carenze involontari.
349 commit sono stati considerati corretti e lasciati invariati. Sono stati rilevati problemi in 39 commit che richiedono correzione: questi commit sono stati annullati e verranno sostituiti con correzioni più corrette prima del rilascio del kernel 5.13. I bug in 25 commit sono stati corretti nelle modifiche successive. 12 non erano più rilevanti perché interessavano sistemi legacy che erano già stati rimossi dal kernel. Uno dei commit corretti è stato ripristinato su richiesta dell'autore. 9 commit corretti sono stati inviati dagli indirizzi @umn.edu molto prima della formazione del gruppo di ricerca in analisi.
Per ripristinare la fiducia nel team dell'Università del Minnesota e restituirgli l'opportunità di partecipare allo sviluppo del kernel, la Linux Foundation ha avanzato una serie di richieste, la maggior parte delle quali sono già state soddisfatte. Ad esempio, i ricercatori hanno già ritirato la pubblicazione di Hypocrite Commits e annullato la loro presentazione al simposio IEEE, oltre a divulgare pubblicamente l'intera cronologia degli eventi e fornire informazioni dettagliate sulle modifiche presentate durante lo studio.
Fonte: opennet.ru