De Linux Foundation Technical Council heeft een samenvattend rapport gepubliceerd waarin een incident met onderzoekers van de Universiteit van Minnesota wordt onderzocht waarbij werd geprobeerd patches in de kernel te duwen die verborgen bugs bevatten die tot kwetsbaarheden leidden. De kernelontwikkelaars bevestigden de eerder gepubliceerde informatie dat van de 5 patches die tijdens het “Hypocrite Commits”-onderzoek waren voorbereid, 4 patches met kwetsbaarheden onmiddellijk en op initiatief van de beheerders werden afgewezen en niet in de kernelrepository terechtkwamen. Eén patch werd geaccepteerd, maar deze corrigeerde het probleem correct en bevatte geen fouten.
Ze analyseerden ook 435 commits die patches bevatten die waren ingediend door ontwikkelaars van de Universiteit van Minnesota en die geen verband hielden met het experiment dat verborgen kwetsbaarheden promootte. Sinds 2018 is een groep onderzoekers van de Universiteit van Minnesota behoorlijk actief bezig met het corrigeren van fouten. Bij herhaald onderzoek is bij deze commits geen kwaadaardige activiteit aan het licht gekomen, maar wel enkele onbedoelde fouten en tekortkomingen.
349 commits werden als correct beschouwd en ongewijzigd gelaten. Er zijn problemen gevonden in 39 commits die moeten worden opgelost - deze commits zijn geannuleerd en zullen worden vervangen door correctere oplossingen vóór de release van kernel 5.13. Bugs in 25 commits zijn opgelost in daaropvolgende wijzigingen. 12 commits waren niet langer relevant omdat ze oudere systemen beïnvloedden die al uit de kernel waren verwijderd. Eén van de juiste commits is op verzoek van de auteur teruggedraaid. Er werden 9 correcte commits verzonden vanaf @umn.edu-adressen lang voordat de onderzoeksgroep werd gevormd die werd geanalyseerd.
Om het vertrouwen in het team van de Universiteit van Minnesota te herstellen en de kans te geven om deel te nemen aan de ontwikkeling van de kernel, heeft de Linux Foundation een aantal eisen naar voren gebracht, waarvan de meeste al zijn ingewilligd. De onderzoekers hebben bijvoorbeeld de publicatie Hypocrite Commits al ingetrokken en hun presentatie op het IEEE Symposium geannuleerd, evenals de volledige chronologie van de gebeurtenissen openbaar gemaakt en gedetailleerde informatie verstrekt over de wijzigingen die tijdens het onderzoek zijn ingediend.
Bron: opennet.ru