O Conselho Técnico da Linux Foundation publicou um relatório resumido examinando um incidente com pesquisadores da Universidade de Minnesota envolvendo uma tentativa de inserir patches no kernel que continham bugs ocultos que levavam a vulnerabilidades. Os desenvolvedores do kernel confirmaram as informações publicadas anteriormente de que dos 5 patches preparados durante o estudo “Hypocrite Commits”, 4 patches com vulnerabilidades foram rejeitados imediatamente e por iniciativa dos mantenedores e não foram incluídos no repositório do kernel. Um patch foi aceito, mas corrigiu o problema corretamente e não continha erros.
Eles também analisaram 435 commits que incluíam patches enviados por desenvolvedores da Universidade de Minnesota que não estavam relacionados ao experimento que promovia vulnerabilidades ocultas. Desde 2018, um grupo de pesquisadores da Universidade de Minnesota tem estado ativamente envolvido na correção de erros. A revisão repetida não revelou nenhuma atividade maliciosa nesses commits, mas revelou alguns erros e deficiências não intencionais.
349 commits foram considerados corretos e deixados inalterados. Foram encontrados problemas em 39 commits que requerem correção - esses commits foram cancelados e serão substituídos por correções mais corretas antes do lançamento do kernel 5.13. Bugs em 25 commits foram corrigidos em alterações subsequentes. 12 commits não eram mais relevantes porque afetavam sistemas legados que já haviam sido removidos do kernel. Um dos commits corretos foi revertido a pedido do autor. 9 commits corretos foram enviados dos endereços @umn.edu muito antes da formação do grupo de pesquisa em análise.
Para restaurar a confiança na equipe da Universidade de Minnesota e devolver a oportunidade de participar do desenvolvimento do kernel, a Linux Foundation apresentou uma série de demandas, muitas das quais já foram atendidas. Por exemplo, os pesquisadores já retrataram a publicação do Hypocrite Commits e cancelaram sua apresentação no Simpósio IEEE, bem como divulgaram publicamente toda a cronologia dos eventos e forneceram informações detalhadas sobre as alterações apresentadas durante o estudo.
Fonte: opennet.ru