Ни один из вредоносных патчей Миннесотского университета не попал в ядро Linux

    Разработчики ядра Linux из технического совета Linux Foundation опубликовали результаты проверки коммитов, отправленных Миннесотским университетом. Ранее вскрылось, что исследовательская группа университета намеренно отправляла патчи, привносящие уязвимости.

    Проверке подверглись как патчи, отправленные в рамках исследования, так и прочие, которые присылались сотрудниками университета, начиная с 2018 года.

    Проект «Hypocrite Commits»:

    • 4 коммита с уязвимостями отклонены мейнтейнерами на этапе рецензирования;

    • 1 корректный коммит был принят в ядро, поскольку исправлял реально существующую проблему. Разработчики не понимают, почему исследователи в своей опубликованной работе включили этот патч в число вредоносных.

    Прочие коммиты, не связанные с исследованием:

    • 349 абсолютно корректны;

    • 39 содержат недоработки (эти коммиты отменены и будут исправлены позже);

    • 25 содержат недоработки, которые впоследствии были исправлены;

    • 12 относятся к подсистемам, к настоящему времени удалённым из кодовой базы;

    • 9 корректны, сделаны давно, ещё до образования исследовательской группы;

    • 1 ошибочный, удалён по просьбе автора.

    Университету рекомендовано нанять опытного разработчика для предварительной проверки отправляемых изменений. Это предотвратило бы отправку некоторых из описанных выше недоработанных коммитов, и снизило нагрузку на мейнтейнеров. К тому же, это поможет восстановить в сообществе доверие к университету.

    В ближайшее время технический совет приступит к созданию документа, описывающего набор практик, которым стоит следовать при работе с сообществом разработчиков ядра Linux.

    Комментарии 3

      0
      Разработчики не понимают, почему исследователи в своей опубликованной работе включили этот патч в число вредоносных.

      Именно на это и рассчитывали исследователи: что разработчики не заметят вредоносность, и примут коммит в ядро.
        0
        В данном случае коммит просмотрела куча разработчиков и пока никто не смог сказать, в чём заключается вредоносность.

        diff --git a/drivers/crypto/cavium/nitrox/nitrox_main.c b/drivers/crypto/cavium/nitrox/nitrox_main.c
        index cee2a2713038..9d14be97e381 100644
        --- a/drivers/crypto/cavium/nitrox/nitrox_main.c
        +++ b/drivers/crypto/cavium/nitrox/nitrox_main.c
        @@ -451,6 +451,7 @@ static int nitrox_probe(struct pci_dev *pdev,
        err = pci_request_mem_regions(pdev, nitrox_driver_name);
        if (err) {
        pci_disable_device(pdev);
        + dev_err(&pdev->dev, "Failed to request mem regions!\n");
        return err;
        }
        pci_set_master(pdev);
        --
        0

        Капец какая дичь. Если это прямо-таки вредоносное ПО с умыслом, то это попытка совершения преступления. И то, что это произошло со стороны университета, добавляет пикантности.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое