当前位置:首页 > 黑客技术 > 正文内容

Linux 技术咨询委员会已完成对 UMN 内核漏洞植入事件的调查

访客56年前 (1970-01-01)黑客技术724

此前为了一个处心积虑的 Linux 安全研究项目,两名 UMN 研究人员故意向 Linux 内核插入了有后门漏洞的补丁。事件曝光后,其立即遭到了 Linux 及安全社区的炮轰。最新消息是,由顶级 Linux 内核开发人员组成的 Linux 基金会技术咨询委员会,刚刚发布了针对明尼苏达大学“Hypocrite Commits”补丁的全面审查报告。

作为一名受人尊敬的 Linux 稳定版内核维护贡献者,Greg Kroah-Hartman 希望对 UMN 漏洞植入事件展开彻底调查,且临时禁止了任何与 UMN 有关的提交。

不过随着调查结果的公布,我们通过 Linux 内核邮件公告列表(LKML)知悉,Linux 基金会技术咨询委员会(TAB)领导的高级志愿 Linux 内核维护和开发人员团队,已经正式完成了相关代码的审查。

据悉,与 UMN 相关的 435 项提交已被重新审核。尽管绝大多数内容都没有问题,但仍有 39 项被认为需要进一步的修复。

其中 25 项已通过后续提交修复,另有 12 项不再重要。此外 9 项提交早于争议事件发生,还有 1 项已应提交人的要求而被删除。

最终认定 UMN 研究人员向 LKML 提交了 5 项故意破坏的更改,这些更改源于两个伪造的提交者身份。

然而此举与公认的 Linux 内核代码贡献准侧背道而驰,且校方似乎允许研究人员在特殊情况下使用伪造的认证开发者身份。

尽管没有曝出新发现的攻击,但此事还是迫使 Linux 内核开发人员对大量代码展开重新审查。

正如 Kroah-Hartman 所述,就算影响再小,他们都不允许故意在 Linux 内核中植入后门漏洞。

庆幸的是,针对 Linux 基金会技术咨询委员会提出的大多数请求,UMN 方面都给予了积极的回应,且后续向 Linux 社区全面披露了有关 Hypocrite Commits 项目是如何开展的细节。

最后,虽然此事造成了双方信任度的崩塌,但展望未来,只要 UMN 能够切实有效地提供帮助,Linux 社区还是希望再次与该校及其研究人员恢复合作的。

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32499.html

“Linux 技术咨询委员会已完成对 UMN 内核漏洞植入事件的调查” 的相关文章

惠普解决了 16 个影响笔记本电脑、台式机、PoS 系统的 UEFI 固件缺陷

近期,网络安全公司Binarly研究人员发现16个影响惠普企业设备的统一可扩展固件接口高危漏洞。攻击者可以利用这些漏洞植入固件,使其能够在操作系统更新后继续存在并绕过 UEFI安全启动、Intel Boot Guard和基于虚拟化的安全性。受影响的设备包括多个惠普企业设备,如笔记本电脑、...

微软捣毁 ZLoader 犯罪僵尸网络

微软今天宣布近日捣毁了一个名为 ZLoader 的主要犯罪僵尸网络,这也是使用 XLM 宏作为攻击面的僵尸网络之一。微软的最新行动包括技术和法律活动,以破坏利用 ZLoader 作为恶意软件即服务(malware-as-a-service)的犯罪集团的运作。 在本次捣毁行动中,微软还锁定了一位开发...

研究报告显示 2021 年加密货币牛市使犯罪分子更加富有

根据区块链数据公司Chainalysis的一份报告,在2021年底,网络犯罪分子拥有超过110亿美元与非法活动有关的加密货币,比2020年底的30亿美元有了飞速的增长。最有利可图的犯罪行为是盗窃。据该公司称,犯罪分子、加密货币钱包中93%的资金是由价值98亿美元的被盗币构成。 为了找到这些数字,Ch...

CISA 发布 AA22-103A 新警报:警惕针对 ICS/SCADA 设备的 APT 网络攻击

本周三,包括美国能源部(DOE)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在内的多个机构,向关键基础设施运营商发出了严重的潜在攻击警报。近年来,某些持续威胁(APT)参与者创建了许多定制工具,并在针对工业控制系统(ICS)、监控和数据采集设备(SCADA)等关键基础设施的攻击事件中...

7-Zip 被爆零日安全漏洞:可提权执行代码 但用户可简单操作使其失效

文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。 它被命名为 CVE-2022-290...

超过千万安卓用户成为付费短信诈骗应用的目标

一场在全球范围性欺诈行为被发现,它利用151个恶意Android应用程序,下载量达1050万次,在未经用户同意和知情的情况下将用户拉入付费订阅服务。 名为“Ultimams”的付费短信诈骗活动据信于2021年5月开始,涉及的应用程序涵盖范围广泛,包括输入法、二维码扫描仪、视频和照片编辑器、垃圾邮件拦...

评论列表

可难烟柳
2年前 (2022-07-03)

了双方信任度的崩塌,但展望未来,只要 UMN 能够切实有效地提供帮助,Linux 社区还是希望再次与该校及其研究人员恢复合作的。(消息及封面来源:cnBeta)

只酷以酷
2年前 (2022-07-03)

ML 提交了 5 项故意破坏的更改,这些更改源于两个伪造的提交者身份。然而此举与公认的 Linux 内核代码贡献准侧背道而驰,且校方似乎允许研究人员在特殊情况下使用伪造的认证开发者身份。尽管没有曝出新发

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。