Linux技术咨询委员会已完成对UMN内核漏洞植入事件的调查

蓝天二号

此前为了一个处心积虑的 Linux 安全研究项目，两名 UMN 研究人员故意向 Linux 内核插入了有后门漏洞的补丁。事件曝光后，其立即遭到了 Linux 及安全社区的炮轰。最新消息是，由顶级 Linux 内核开发人员组成的 Linux 基金会技术咨询委员会，刚刚发布了针对明尼苏达大学“Hypocrite Commits”补丁的全面审查报告。

作为一名受人尊敬的 Linux 稳定版内核维护贡献者，Greg Kroah-Hartman 希望对 UMN 漏洞植入事件展开彻底调查，且临时禁止了任何与 UMN 有关的提交。

不过随着调查结果的公布，我们通过 Linux 内核邮件公告列表（LKML）知悉，Linux 基金会技术咨询委员会（TAB）领导的高级志愿 Linux 内核维护和开发人员团队，已经正式完成了相关代码的审查。

据悉，与 UMN 相关的 435 项提交已被重新审核。尽管绝大多数内容都没有问题，但仍有 39 项被认为需要进一步的修复。

其中 25 项已通过后续提交修复，另有 12 项不再重要。此外 9 项提交早于争议事件发生，还有 1 项已应提交人的要求而被删除。

最终认定 UMN 研究人员向 LKML 提交了 5 项故意破坏的更改，这些更改源于两个伪造的提交者身份。

然而此举与公认的 Linux 内核代码贡献准侧背道而驰，且校方似乎允许研究人员在特殊情况下使用伪造的认证开发者身份。

尽管没有曝出新发现的攻击，但此事还是迫使 Linux 内核开发人员对大量代码展开重新审查。

正如 Kroah-Hartman 所述，就算影响再小，他们都不允许故意在 Linux 内核中植入后门漏洞。

庆幸的是，针对 Linux 基金会技术咨询委员会提出的大多数请求，UMN 方面都给予了积极的回应，且后续向 Linux 社区全面披露了有关 Hypocrite Commits 项目是如何开展的细节。

最后，虽然此事造成了双方信任的崩塌，但展望未来，只要 UMN 能够切实有效地提供帮助，Linux 社区还是有望再次恢复与该校及其研究人员的合作。

★心空☆

内鬼吗

liu浪的人

使用伪造身份向内核提交代码以植入后门漏洞，这是作死啊

cucme

也许是因为别的原因才这样做的吧

雨下樱成冢

cucme 发表于 2021-5-9 07:29
也许是因为别的原因才这样做的吧

我看了相关的报道，说是恶意植入漏洞的两个人是为了写论文，通过“向社区提交恶意补丁”的做法，来测试“内核社区检查已知恶意修改的能力”

cucme

雨下樱成冢 发表于 2021-5-9 21:30
我看了相关的报道，说是恶意植入漏洞的两个人是为了写论文，通过“向社区提交恶意补丁”的做法，来测试“ ...

通过这种提交恶意补丁的论文来看是否可以在开源内核里设置需要的后门啊、漏洞啊、木马啊、病毒啊
以后必要的时候就可以通过某些人来做类似的事情，达到不可告人的目的
--
我记得有个旧闻：某国间谍出差住酒店需要[过滤]回国报销。
间谍机构有许多也是该国的正规单位，依法合规很有要求的。
只有有了论文之类的依据，才可以采取某些措施的