Prohiben a la Universidad de Minnesota realizar contribuciones al kernel de Linux
La sanción se produce después de la publicación de un trabajo de investigación, donde se analizaba la capacidad de introducir bugs o fallos de seguridad en proyectos de código abierto, concretamente en Linux.
A principios de este año, dos investigadores de la universidad publicaron un trabajo de investigación en el que analizaban la organización de proyectos de código abierto (OSS), donde es habitual que se reciban contribuciones de multitud de desarrolladores, siendo relativamente sencillo que alguna de ellas contenga algún fallo, sea o no intencionado.
En este caso, empleaban ‘commits’ con pequeños parches que arreglaban algún fallo menor o trivial, en apariencia inofensivos. Sin embargo su motivación era introducir las modificaciones necesarias para provocar una vulnerabilidad nueva o recuperar alguna ya corregida anteriormente.
Este tipo de ataques se denominan de cadena de suministro, de los que ya hemos hablado en el pasado, y afectan a los proyectos que dependen de alguna manera del software al que se han introducido vulnerabilidades. El kernel de linux es un objetivo muy jugoso en este sentido, ya que se utiliza en millones de dispositivos, desde grandes supercomputadoras a dispositivos IoT.
Todo ello ha desembocado en que uno de los responsables del kernel, Greg Kroah-Hartman, haya prohibido cualquier contribucion procedente de la universidad de Minesota. Se van a revertir, además, todas las contribuciones realizadas en el pasado, cerca de 200 commits, como medida cautelar.
Más información
https://www.bleepingcomputer.com/news/security/linux-bans-university-of-minnesota-for-committing-malicious-code/
https://www.theverge.com/2021/4/22/22398156/university-minnesota-linux-kernal-ban-research
https://lore.kernel.org/lkml/20210421130105.1226686-1-gregkh@linuxfoundation.org/
https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
La entrada Prohiben a la Universidad de Minnesota realizar contribuciones al kernel de Linux se publicó primero en Una al Día.
Powered by WPeMatico