El consejo técnico de la Fundación Linux dio a conocer recientemente un informe consolidado sobre el incidente relacionado con los investigadores de la Universidad de Minnesota el cual se volvió todo un escándalo, ya que realizaban intentos de introducir parches en el kernel que contienen errores ocultos que conducen a vulnerabilidades.
Los desarrolladores del kernel confirmaron la información publicada anteriormente de que de 5 parches preparados en el curso de la investigación «Hypocrite Commits», 4 parches con vulnerabilidades fueron descartados inmediatamente y por iniciativa de los mantenedores y no ingresaron al repositorio del kernel.
Además, se analizaron 435 confirmaciones, incluidas las correcciones enviadas por desarrolladores de la Universidad de Minnesota y no relacionadas con un experimento para promover vulnerabilidades ocultas.
El 20 de abril de 2021, ante la percepción de que un grupo de investigadores de la Universidad de Minnesota (UMN) habían reanudado el envío de códigos comprometiendo al kernel de Linux.
Greg Kroah-Hartman pidió a la comunidad que dejara de aceptar parches de UMN y comenzó una nueva revisión de todas las presentaciones previamente aceptadas de la Universidad.
Este informe resume los hechos que llevaron a este punto, revisa el documento «Hypocrite Commits» que se había enviado para su publicación, y revisa todas las confirmaciones de kernel anteriores conocidas de los autores de artículos de UMN que ha sido aceptado en nuestro repositorio de origen. Concluye con algunas sugerencias sobre cómo la comunidad, con UMN incluida, puede moverse
hacia adelante. Los colaboradores de este documento incluyen miembros de Linux
Junta Asesora Técnica (TAB) de la Fundación, con la ayuda de revisión de parches de
muchos otros miembros de la comunidad de desarrolladores del kernel de Linux.
Y es que desde el 2018, un equipo de investigadores de la Universidad de Minnesota ha estado bastante activo en la corrección de errores. La nueva revisión no reveló ninguna actividad maliciosa en estas confirmaciones, pero reveló algunos errores y deficiencias no intencionales.
También se informa que 349 confirmaciones se consideraron correctas y no se modificaron. En 39 confirmaciones, se encontraron problemas que requieren reparación; estas confirmaciones se cancelaron y serán reemplazadas por correcciones más correctas antes de que se lance el kernel 5.13.
Los errores en 25 confirmaciones se corrigieron en cambios posteriores y 12 confirmaciones perdieron su relevancia, ya que afectaron a sistemas heredados que ya se eliminaron del kernel. Una de las confirmaciones correctas se canceló a petición del autor. Se enviaron 9 confirmaciones correctas desde las direcciones @ umn.edu mucho antes de la formación del equipo de investigación analizado.
Para recuperar la confianza en el equipo de la Universidad de Minnesota y recuperar la oportunidad de participar en el desarrollo del kernel, la Fundación Linux ha propuesto una serie de requisitos, la mayoría de los cuales ya se han cumplido.
La debida diligencia requirió una auditoría para identificar qué autores participaron en diferentes proyectos de investigación de la UMN, identificar la intención de cualquier parche y eliminar los parches defectuosos independientemente de la intención. Con ello se busca el restablecimiento de la confianza de la comunidad en los grupos de investigadores también es importante, ya que este incidente podría tener un impacto de gran alcance en la confianza tanto en direcciones que podrían enfriar la participación de cualquier investigador en el kernel y en el desarrollo.
Por ejemplo, los investigadores ya retiraron la publicación de «Hypocrite Commits» y cancelaron su charla en el Simposio IEEE, además de revelar públicamente la cronología completa de eventos y proporcionar detalles de los cambios enviados durante el estudio.
Hay que recordar que Greg Kroah-Hartman, quien es responsable de mantener la rama estable del kernel de Linux se percató del suceso y tomo la decisión de negar cualquier cambio proveniente de la Universidad de Minnesota al kernel de Linux, y revertir todos los parches aceptados previamente y volver a revisarlos.
El motivo del bloqueo fueron las actividades de un grupo de investigación que estudia la posibilidad de promover vulnerabilidades ocultas en el código de proyectos de código abierto, ya que este grupo ha enviado parches que incluyen errores de varios tipos.
Fuente: lore.kerne | desdelinux
