Conselho Técnico da organização Linux A Fundação publicou um relatório resumido examinando um incidente envolvendo pesquisadores da Universidade de Minnesota, relacionado a uma tentativa de inserir patches contendo vulnerabilidades ocultas no kernel. Os desenvolvedores do kernel confirmaram informações previamente publicadas de que, dos cinco patches preparados durante a pesquisa "Hypocrite Commits", quatro dos patches vulneráveis foram rejeitados de imediato pelos mantenedores e não foram incluídos no repositório do kernel. Um patch foi aceito, mas corrigia o problema corretamente e não continha erros.
Eles também analisaram 435 commits que incluíam patches enviados por desenvolvedores da Universidade de Minnesota que não estavam relacionados ao experimento que promovia vulnerabilidades ocultas. Desde 2018, um grupo de pesquisadores da Universidade de Minnesota tem estado ativamente envolvido na correção de erros. A revisão repetida não revelou nenhuma atividade maliciosa nesses commits, mas revelou alguns erros e deficiências não intencionais.
349 commits foram considerados corretos e deixados inalterados. Foram encontrados problemas em 39 commits que requerem correção - esses commits foram cancelados e serão substituídos por correções mais corretas antes do lançamento do kernel 5.13. Bugs em 25 commits foram corrigidos em alterações subsequentes. 12 commits não eram mais relevantes porque afetavam sistemas legados que já haviam sido removidos do kernel. Um dos commits corretos foi revertido a pedido do autor. 9 commits corretos foram enviados dos endereços @umn.edu muito antes da formação do grupo de pesquisa em análise.
Para restaurar a confiança na equipe da Universidade de Minnesota e devolver a oportunidade de participar do desenvolvimento do núcleo, a organização Linux A Fundação fez uma série de exigências, a maioria das quais já foi atendida. Por exemplo, os pesquisadores já retrataram sua publicação "Hypocrite Commits" e cancelaram sua apresentação no Simpósio do IEEE, além de divulgarem publicamente toda a cronologia dos eventos e fornecerem informações detalhadas sobre as alterações submetidas durante o estudo.
Fonte: opennet.ru
