Разработчики ядра Linux завершили аудит всех патчей от Университета Миннесоты
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Технический совет организации Linux Foundation опубликовал сводный отчёт с разбором инцидента с исследователями из Университета Миннесоты, связанного с попыткой продвижения в ядро патчей, содержащих скрытые ошибки, приводящие к уязвимостям. Разработчики ядра подтвердили ранее опубликованную информацию о том, что из 5 патчей, подготовленных в ходе исследования "Hypocrite Commits", 4 патча с уязвимостями были отвергнуты сразу и по инициативе мэйнтейнеров и не попали в репозиторий ядра. Один патч был принят, но он корректно исправлял проблему и не содержал ошибок.
Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей. С 2018 года группа исследователей из Университета Миннесоты достаточно активно участвовала в исправлении ошибок. Повторное рецензирование не выявило в данных коммитах вредоносной активности, но вскрыло отдельные неумышленные ошибки и недоработки.
349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность, так как затрагивали устаревшие системы, уже удалённые из ядра. Один из корректных коммитов был отменён по запросу автора. 9 корректных коммитов были отправлены с адресов @umn.edu задолго до образования разбираемой группы исследователей.
Для восстановления доверия к команде из Университета Миннесоты и возвращения возможности участия в разработке ядра организация Linux Foundation выдвинула ряд требований, большая часть из которых уже выполнена. Например, исследователи уже отозвали публикацию "Hypocrite Commits" и отменили своё выступление на конференции IEEE Symposium, а также публично раскрыли всю хронологию событий и предоставили детальную информацию об отправленных в ходе исследования изменениях.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://lkml.org/lkml/2021/5/5...)
- OpenNews: Команда из Университета Миннесоты раскрыла детали об отправленных вредоносных изменениях
- OpenNews: Команда из Университета Миннесоты пояснила мотивы экспериментов с сомнительными коммитами в ядро Linux
- OpenNews: Университет Миннесоты отстранён от разработки ядра Linux за отправку сомнительных патчей
- OpenNews: Проблемы с безопасностью в патчах, предложенных сотрудником Huawei для защиты ядра Linux
- OpenNews: Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux
Похожие новости:
- [Настройка Linux, Системное администрирование, *nix] Неожиданные подвохи при перенаправлениях оболочки в $((i++)) (перевод)
- [Настройка Linux, Разработка под Linux, История IT, Интервью] 30 лет Линукса. Интервью с Линусом Торвальдсом. Часть 1 (перевод)
- [Open source, *nix] FOSS News №68 – дайджест материалов о свободном и открытом ПО за 26 апреля – 2 мая 2021 года
- [Информационная безопасность, Разработка под Linux, Софт] Скрытое вредоносное ПО для бэкдора Linux обнаружили спустя три года
- Первый тестовый выпуск дистрибутива Rocky Linux, идущего на смену CentOS
- [JavaScript, Программирование] Человеко-читаемый JavaScript: история о двух экспертах (перевод)
- [Настройка Linux, Системное администрирование] Ubuntu 16.04: Получаем обновления безопасности после окончания основной поддержки
- [Разработка под Linux] Как теперь процессить kernel crash и bug report? Или несколько слов о разнице между интересным и удивительным
- [Информационная безопасность, Читальный зал, Лайфхаки для гиков] Как крупное кредитное бюро Experian 5 лет зарабатывает на уязвимости в своей системе (перевод)
- [Настройка Linux, Nginx, Серверное администрирование, Хранение данных] Домашний медиа сервер minidlna
Теги для поиска: #_linux, #_kernel
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:05
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Технический совет организации Linux Foundation опубликовал сводный отчёт с разбором инцидента с исследователями из Университета Миннесоты, связанного с попыткой продвижения в ядро патчей, содержащих скрытые ошибки, приводящие к уязвимостям. Разработчики ядра подтвердили ранее опубликованную информацию о том, что из 5 патчей, подготовленных в ходе исследования "Hypocrite Commits", 4 патча с уязвимостями были отвергнуты сразу и по инициативе мэйнтейнеров и не попали в репозиторий ядра. Один патч был принят, но он корректно исправлял проблему и не содержал ошибок. Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей. С 2018 года группа исследователей из Университета Миннесоты достаточно активно участвовала в исправлении ошибок. Повторное рецензирование не выявило в данных коммитах вредоносной активности, но вскрыло отдельные неумышленные ошибки и недоработки. 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность, так как затрагивали устаревшие системы, уже удалённые из ядра. Один из корректных коммитов был отменён по запросу автора. 9 корректных коммитов были отправлены с адресов @umn.edu задолго до образования разбираемой группы исследователей. Для восстановления доверия к команде из Университета Миннесоты и возвращения возможности участия в разработке ядра организация Linux Foundation выдвинула ряд требований, большая часть из которых уже выполнена. Например, исследователи уже отозвали публикацию "Hypocrite Commits" и отменили своё выступление на конференции IEEE Symposium, а также публично раскрыли всю хронологию событий и предоставили детальную информацию об отправленных в ходе исследования изменениях. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:05
Часовой пояс: UTC + 5