Бесплатно Экспресс-аудит сайта:

08.05.2021

Ни один из внесенных Миннесотским университетом уязвимых патчей не попал в Linux

Технический консультативный совет (Technical Advisory Board, TAB) организации Linux Foundation подготовил отчет , в котором изложена вся ситуация с фальшивыми коммитами, вносимыми специалистами Миннесотского университета. Согласно отчету, ни один из внесенных ими уязвимых фрагментов кода не попал в основную ветку Linux.

«20 апреля 2021 года в ответ на информацию о том, что группа исследователей Миннесотского университета (UMN) возобновила отправку скомпрометированного кода в ядро Linux, Грег Кроа-Хартман призвал сообщество больше не принимать патчи от UMN, а все принятые раньше тщательно проверить. Этот отчет суммирует события, которые привели к этому моменту, рассматривает представленный для публикации документ "Фальшивые коммиты" и анализирует все известные предыдущие коммиты ядра от UMN, принятые в наш репозиторий исходного кода. Документ завершается несколькими предложениями по поводу того, как сообществу, включая UMN, двигаться дальше», – сообщается в отчете.

Из отчета можно сделать важный вывод – уязвимый код в итоге так и не попал в ядро Linux.

«Все вносимые недействительные патчи были перехвачены или проигнорированы разработчиками ядра Linux. При столкновении с вредоносными патчами наши процессы проверки исправлений работали должным образом», – говорится в отчете.

Как сообщается в завершающей части документа, между разработкой ядра Linux и университетами существует прочная связь, ведь ядро начиналось как университетский проект Линуса Торвальдса. TAB предлагает UNM в будущем рассмотреть возможность проверки предлагаемых коммитов опытным разработчиком, как это делают компании, вносящие свой вклад в разработку ядра.