Linux Linux技术咨询委员会已完成对UMN内核漏洞植入事件的调查 Linux技术咨询委员会已完成对

此前为了一个处心积虑的 Linux 安全研究项目，两名 UMN 研究人员故意向 Linux 内核插入了有后门漏洞的补丁。事件曝光后，其立即遭到了 Linux 及安全社区的炮轰。最新消息是，由顶级 Linux 内核开发人员组成的 Linux 基金会技术咨询委员会，刚刚发布了针对明尼苏达大学“Hypocrite Commits”补丁的全面审查报告。
【Linux|Linux技术咨询委员会已完成对UMN内核漏洞植入事件的调查】
文章图片

作为一名受人尊敬的 Linux 稳定版内核维护贡献者，Greg Kroah-Hartman 希望对 UMN 漏洞植入事件展开彻底调查，且临时禁止了任何与 UMN 有关的提交。
不过随着调查结果的公布，我们通过 Linux 内核邮件公告列表（LKML）知悉，Linux 基金会技术咨询委员会（TAB）领导的高级志愿 Linux 内核维护和开发人员团队，已经正式完成了相关代码的审查。

据悉，与 UMN 相关的 435 项提交已被重新审核。尽管绝大多数内容都没有问题，但仍有 39 项被认为需要进一步的修复。
其中 25 项已通过后续提交修复，另有 12 项不再重要。此外 9 项提交早于争议事件发生，还有 1 项已应提交人的要求而被删除。
最终认定 UMN 研究人员向 LKML 提交了 5 项故意破坏的更改，这些更改源于两个伪造的提交者身份。
然而此举与公认的 Linux 内核代码贡献准侧背道而驰，且校方似乎允许研究人员在特殊情况下使用伪造的认证开发者身份。

尽管没有曝出新发现的攻击，但此事还是迫使 Linux 内核开发人员对大量代码展开重新审查。
正如 Kroah-Hartman 所述，就算影响再小，他们都不允许故意在 Linux 内核中植入后门漏洞。
庆幸的是，针对 Linux 基金会技术咨询委员会提出的大多数请求，UMN 方面都给予了积极的回应，且后续向 Linux 社区全面披露了有关 Hypocrite Commits 项目是如何开展的细节。
最后，虽然此事造成了双方信任的崩塌，但展望未来，只要 UMN 能够切实有效地提供帮助，Linux 社区还是有望再次恢复与该校及其研究人员的合作。
相关文章:
因故意插入实验性漏洞明尼苏达大学开发者被禁止向Linux内核供应代码
明尼苏达大学就Linux内核被注入实验性漏洞一事作出回应