此前为了一个处心积虑的 Linux 安全研究项目,两名 UMN 研究人员故意向 Linux 内核插入了有后门漏洞的补丁。事件曝光后,其立即遭到了 Linux 及安全社区的炮轰。最新消息是,由顶级 Linux 内核开发人员组成的 Linux 基金会技术咨询委员会,刚刚发布了针对明尼苏达大学“Hypocrite Commits”补丁的全面审查报告。
作为一名受人尊敬的 Linux 稳定版内核维护贡献者,Greg Kroah-Hartman 希望对 UMN 漏洞植入事件展开彻底调查,且临时禁止了任何与 UMN 有关的提交。
不过随着调查结果的公布,我们通过 Linux 内核邮件公告列表(LKML)知悉,Linux 基金会技术咨询委员会(TAB)领导的高级志愿 Linux 内核维护和开发人员团队,已经正式完成了相关代码的审查。
据悉,与 UMN 相关的 435 项提交已被重新审核。尽管绝大多数内容都没有问题,但仍有 39 项被认为需要进一步的修复。
其中 25 项已通过后续提交修复,另有 12 项不再重要。此外 9 项提交早于争议事件发生,还有 1 项已应提交人的要求而被删除。
最终认定 UMN 研究人员向 LKML 提交了 5 项故意破坏的更改,这些更改源于两个伪造的提交者身份。
然而此举与公认的 Linux 内核代码贡献准侧背道而驰,且校方似乎允许研究人员在特殊情况下使用伪造的认证开发者身份。
尽管没有曝出新发现的攻击,但此事还是迫使 Linux 内核开发人员对大量代码展开重新审查。
正如 Kroah-Hartman 所述,就算影响再小,他们都不允许故意在 Linux 内核中植入后门漏洞。
庆幸的是,针对 Linux 基金会技术咨询委员会提出的大多数请求,UMN 方面都给予了积极的回应,且后续向 Linux 社区全面披露了有关 Hypocrite Commits 项目是如何开展的细节。
最后,虽然此事造成了双方信任的崩塌,但展望未来,只要 UMN 能够切实有效地提供帮助,Linux 社区还是有望再次恢复与该校及其研究人员的合作。
