首页 > 业界 > 关键词 > 漏洞最新资讯 > 正文

Linux技术咨询委员会已完成对UMN内核漏洞植入事件的调查

2021-05-08 17:42 · 稿源:cnbeta

此前为了一个处心积虑的 Linux 安全研究项目,两名 UMN 研究人员故意向 Linux 内核插入了有后门漏洞的补丁。事件曝光后,其立即遭到了 Linux 及安全社区的炮轰。最新消息是,由顶级 Linux 内核开发人员组成的 Linux 基金会技术咨询委员会,刚刚发布了针对明尼苏达大学“Hypocrite Commits”补丁的全面审查报告。

作为一名受人尊敬的 Linux 稳定版内核维护贡献者,Greg Kroah-Hartman 希望对 UMN 漏洞植入事件展开彻底调查,且临时禁止了任何与 UMN 有关的提交。

不过随着调查结果的公布,我们通过 Linux 内核邮件公告列表(LKML)知悉,Linux 基金会技术咨询委员会(TAB)领导的高级志愿 Linux 内核维护和开发人员团队,已经正式完成了相关代码的审查。

据悉,与 UMN 相关的 435 项提交已被重新审核。尽管绝大多数内容都没有问题,但仍有 39 项被认为需要进一步的修复。

其中 25 项已通过后续提交修复,另有 12 项不再重要。此外 9 项提交早于争议事件发生,还有 1 项已应提交人的要求而被删除。

最终认定 UMN 研究人员向 LKML 提交了 5 项故意破坏的更改,这些更改源于两个伪造的提交者身份。

然而此举与公认的 Linux 内核代码贡献准侧背道而驰,且校方似乎允许研究人员在特殊情况下使用伪造的认证开发者身份。

尽管没有曝出新发现的攻击,但此事还是迫使 Linux 内核开发人员对大量代码展开重新审查。

正如 Kroah-Hartman 所述,就算影响再小,他们都不允许故意在 Linux 内核中植入后门漏洞。

庆幸的是,针对 Linux 基金会技术咨询委员会提出的大多数请求,UMN 方面都给予了积极的回应,且后续向 Linux 社区全面披露了有关 Hypocrite Commits 项目是如何开展的细节。

最后,虽然此事造成了双方信任的崩塌,但展望未来,只要 UMN 能够切实有效地提供帮助,Linux 社区还是有望再次恢复与该校及其研究人员的合作。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • 火币科技子公司火币资管新发四只基金 三只为100%虚拟资产基金

    4月22日,火币科技控股有限公司(下称“火币科技”;1611.HK)发布公告,称其全资子公司火币资产管理(香港)有限公司(下称“火币资管”)即日起发行4只基金产品。其中包含3只100%投资虚拟资产的基金 ,分别为比特币跟踪基金、以太坊跟踪基金及主动管理的多策略虚拟资产基金,以及一只区块链矿业相关的私募股权类基金。这4只基金产品只会面向专业投资者 (定义见于《证券及期货条例》及《证券及期货(专业投资者)规则》)。自香港?

  • 本月补丁星期二活动共计修复108处漏洞 其中19处为关键漏洞

    对于普通用户来说,本月补丁星期二活动发布的 Windows 10 累积更新并没有什么新的内容,主要是对系统安全性进行优化。不过对于 Windows 和 Microsoft Exchange 管理员来说,最近几个月一直非常忙碌,4 月累积更新修复了 5 个零日漏洞和更多的 Exchange 漏洞。在今天的更新中,微软共计修复了 108 处漏洞,其中 19 个标记为“关键漏洞”(Critial),89 个标记为“重要漏洞”(Important)。而且这些漏洞并不包含本月初发布的 6 个

  • 微淼商学院:基金赚钱而基民亏钱,何解?

    一直以来,有一个问题始终萦绕在投资者的心头,那就是“为什么单看每一只基金都在赚钱,而我却亏了?”

  • 继AWS、华为之后 Facebook今天也宣布加入Rust基金

    继 Amazon Web Services、谷歌、华为、微软和 Mozilla 之后,Facebook 今天也宣布加入 Rust 基金会。Facebook 是加入该基金会的最新科技巨头,并承诺将会加大对 Rust 的采用。这个编程语言最初是由 Mozilla 开发的,相比较 C 和 C++ 更快速、更安全,因此受到了业内的广泛赞誉。Rust 对于编写驱动程序和编译器等组件很有吸引力。Rust 基金会于今年 2 月份成立,得到了 AWS、谷歌、华为、微软和 Mozilla 的支持。微软正在为Windows?

  • MYFIT&壹基金蓝色行动公益健行——向爱靠近,无碍同行!

    4 月17 日早上8 点,在杭州玉皇山风景区,MYFITx壹基金蓝色行动公益健行正式吹响行走的号角!西湖群山温度适宜、空气质量佳。活动路线起终点均定在玉皇山景区,一路行来,还有凤凰亭、紫来洞、八卦田等著名景点、历史遗迹,是一条自然与历史底蕴完美融合的路线。在“向爱靠近,无碍同行”的活动口号召唤下,近900 名参赛者一同来到蓝色行动17 公里的徒步挑战中,一起用自己的行动来践行公益的力量。这次的蓝色行动公益健行作为一个?

  • 苹果宣布2亿美元恢复基金用于投资林业项目

    苹果公司与国际保护组织和高盛公司合作,已经宣布了一项新的2亿美元的碳清除计划,称为恢复基金。该计划将投资于林业项目,以清除大气中的碳,同时也为投资者带来回报。这是苹果到2030年在整个业务领域实现碳中和的更广泛计划的一部分。苹果的恢复基金将致力于每年从大气中清除至少100万公吨的二氧化碳,相当于20万辆汽车使用的燃料。该公司还希望展示一种"可行的金融模式",可以促进对其他森林恢复项目的投资。"大自然提供了一些?

  • 新版macOS修复重要安全漏洞:苹果要求用户马上升级!

    如果你是苹果桌面电脑的用户,那么还是要第一时间去进行系统升级的。苹果刚刚发布的macOS 11.3的稳定版本,其中包含了一些新功能,以及针对某个已被恶意攻击者利用的大号安全漏洞的修复。基于此,除非出于兼容性的考量而坚持使用macOS Catalina,建议大家还是尽快通过系统偏好设置 - 软件更新”来获取并安装更新。对于M1 Mac用户来说,macOS 11.3 Big Sur更新还包含了针对在Mac上运行iPhone/iPad应用程序的优化。苹果之所以让大家?

  • Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

    一位安全研究人员在 Valve 的游戏引擎中发现了一个“严重”漏洞,当前热门的《反恐精英》线上游戏也受到了波及。尽管早在 2019 年 6 月就发出了警告,但遗憾的是,作为 Source Engine 和《CS:Go》、《Team Fortress 2》等游戏的制造商,该公司的修复速度实在太慢。视频截图(来自:Secret Club / YouTube)Motherboard 报道称,黑客已能够通过诱骗不知情的玩家点击 Steam 游戏邀请,实现对受害者计算机的控制。安全研究人员 Flori

  • 微软宣布已成为Python软件基金会的愿景赞助商

    自2006年以来,微软一直是Python软件基金会的赞助商之一。今天,微软宣布,它将进一步增加对PSF的捐款,成为远景赞助商。作为对PSF的15万美元财政赞助的一部分,微软将把资金集中到打包工作组,以帮助进一步改进PyPI和支持打包生态系统的开发费用。"在过去5年中,Python的迅速崛起是有据可查的,令人印象深刻。Python的崛起主要是由数据科学的发展推动的,并得益于其在脚本、网络开发、教育领域的长期应用,以及对语言的生产力和易

  • 股价堪比坐火箭!基金经理:新能源车板块估值不低但合理

    如果去年重仓新能源汽车板块的投资者,今年及时离场的话,投资收益想必能够超越股市中90%的投资者。在新能源汽车阵营中,成长最有代表性的要数蔚来汽车,股价从2019年末的1.X美元,一路高歌猛进到66.99美元。而今,蔚来股价在41美元左右,虽然年度销量只有4.37万辆,但其总市值却已高达675亿美元,同时冲进全球汽车市值排行榜前十位置。那么,全球市场都在高歌猛进的新能源汽车,其市值和估值水平,有没有泡沫水分呢,投资机构的基

  • ARK基金增持美团、腾讯 减持特斯拉和Paypal

    交易数据显示,Ark投资基金总共买入274万股UiPath股票和459346股美团股票。

  • Zoom推出1亿美元Zoom Apps投资基金

    当Zoom去年推出Zoom Apps和Marketplace作为销售平台时,显示一个重要的信号,表明该公司希望不仅仅是一个流行的视频会议应用,它希望成为一个平台,开发者可以利用这个平台在Zoom之上构建应用。今天,该公司宣布成立一个1亿美元的投资基金,通过向使用Zoom工具集最有前途的创业公司提供资金,鼓励他们开展业务,同时以此为跳板,鼓励其他开发者利用该平台上的工具。Zoom的Colin Born在宣布新计划的一篇博客文章中表示,Zoom正在寻?

  • 库克:苹果启动两亿美金的基金来投资生产性森林以实现碳中和

    苹果首席执行官库克在今天早上通过社交媒体表示,苹果启动了两亿美金的基金来投资生产性森林,帮助在2030年实现碳中和。

  • Google 发布 Chrome 更新,修补七个安全漏洞

    Google 周三针对 Windows、Mac 和 Linux 端的 Chrome 浏览器发布了更新,更新后版本号来到了90.0.4430.85。该版本中包含七个安全补丁,其中包括一个已被利用的零日漏洞。

  • 微软确认已修复NTFS格式磁盘拒绝服务致系统崩溃的漏洞

    在1月中旬,我们报道了Windows 10中的一个漏洞,它可以被用来破坏NTFS格式化驱动器的内容。只需要一个特别制作的文件夹名称,就可以导致卷被标记为dirty状态,然后系统需要使用Chkdsk实用程序进行修复。但Chkdsk并不总是能做到这一点,反而让受害者无法启动系统。几个月前,微软开始在Windows Insiders社区测试修复补丁,现在补丁正在提供给所有用户,微软标记其为解决了被追踪为CVE-2021-28312(Windows NTFS拒绝服务漏洞)的问题

  • Accenture与数字美元基金会今年将在美国试行CBDC

    【TechWeb】5月4日消息,据国外媒体报道,财富500强公司埃森哲与数字美元基金会合作,计划在美国开始进行中央银行数字货币(CBDC)的试验。数字美元项目(Digital Dollar Project,后文简称DDP)将与感兴趣的利益相关者和DDP参与者,在未来12个月内推出至少5个试点项目,以衡量美国中央银行数字货币(CBDC)或“数字美元”的价值并为其未来设计提供参考。数字美元项目将在接下来的两个月中启动三个试点项目,生成其功能、社会和商业?

  • 据泰旸慈善基金会得知:不管白昼黑夜,他们总是克服困难,负重前行

    人民警察里的小举动大温情哪有什么岁月静好,不过是有人替你负重前行。人民警察,这支拥有“铁一般信仰、铁一般信念、铁一般纪律、铁一般担当”的队伍,初心如磐,使命在肩,任凭风霜雪凝,不管白昼黑夜,他们总是克服困难,负重前行。近日泰旸慈善基金会了解到有关于人民警察的事。泰旸慈善基金会了解到正在都汶高速常态化蹲点巡逻的民警卢宇和辅警邱晟辉接到指令:“映秀隧道有一名幼女发着高烧,车子被堵在隧道里,孩子的妈妈正

  • Chrome已部署Windows 10的安全漏洞缓解措施

    在 Windows 10 计算机上,微软部署了名为 CET 的控制流缓解措施,以实现硬件增强的堆栈保护。现在,Google Chrome 浏览器也借鉴了这一方案,为所有兼容设备引入了增强型的漏洞利用防护特性。据悉,这项措施能够阻止攻击者在 Windows 10 2004 及以上版本的英特尔 11 代 / AMD Zen 3 处理器上利用相关安全漏洞。(来自:Tech Community)硬件强制堆栈保护功能,借助了 Intel CET 芯片组安全性扩展,来保护应用程序免受常见漏洞利用技

  • 江苏省市国资与苏宁成立200亿新零售发展基金

    【TechWeb】5月6日消息,据苏宁官方发布的消息,江苏省国资、南京市国资与苏宁签署了组建新零售发展基金的框架协议。据介绍,新零售发展基金由江苏省与南京市国资、苏宁、社会资本共同出资,总规模200亿元。基金将以“市场化、法治化”为原则,在保障投资风险前提下,采取投资苏宁优质资产与优质业务等方式,进一步发挥苏宁现代商贸流通龙头企业的示范带动作用,实现国资、民资资源互补、合作共赢,促进现代商贸流通体系持续快速发

  • 美团王兴捐赠设立清华大学兴华基金 培养全球顶尖人才

    清华大学1997级校友、美团创始人兼CEO王兴捐赠母校,设立“清华大学兴华基金”,支持学校讲席教授制度的全面建设,切实助力清华创新杰出学者引进机制,加强顶尖师资队伍建设。

  • 热门标签

热文

  • 3 天
  • 7天