Linux Foundation Technical Council は、脆弱性を引き起こす隠れたバグを含むパッチをカーネルにプッシュしようとする試みに関わる、ミネソタ大学の研究者らとの事件を調査した概要レポートを発表しました。 カーネル開発者は、「偽善者のコミット」研究中に準備された 5 つのパッチのうち、脆弱性のある 4 つのパッチがメンテナの主導で即座に拒否され、カーネル リポジトリに入れられなかったという以前に公開された情報を確認しました。 XNUMX つのパッチが受け入れられましたが、問題は正しく修正され、エラーは含まれませんでした。
彼らはまた、ミネソタ大学の開発者によって提出された、隠れた脆弱性を促進する実験とは無関係なパッチを含む 435 件のコミットを分析しました。 2018 年以来、ミネソタ大学の研究者グループは間違いの修正に非常に積極的に取り組んでいます。 繰り返しのレビューでは、これらのコミットに悪意のあるアクティビティは見つかりませんでしたが、いくつかの意図しないエラーや欠点が明らかになりました。
349 個のコミットが正しいと見なされ、変更されませんでした。 修正が必要な 39 件のコミットで問題が見つかりました。これらのコミットはキャンセルされ、カーネル 5.13 のリリース前に、より正しい修正に置き換えられる予定です。 25 件のコミットのバグはその後の変更で修正されました。 12 のコミットは、すでにカーネルから削除されていたレガシー システムに影響を与えたため、関連性がなくなりました。 正しいコミットの 9 つが、作成者の要求により元に戻されました。 XNUMX 件の正しいコミットは、分析対象の研究グループが結成されるずっと前に @umn.edu アドレスから送信されました。
ミネソタ大学のチームへの信頼を回復し、カーネル開発に参加する機会を取り戻すために、Linux Foundation は多くの要求を提出しましたが、そのほとんどはすでに満たされています。 たとえば、研究者らはすでに偽善者コミットスの出版物を撤回し、IEEEシンポジウムでの発表をキャンセルしたほか、出来事の全年表を公開し、研究中に提出された変更点についての詳細な情報を提供した。
出所: オープンネット.ru