現在位置: ホーム / 技術サポート情報 / 米ミネソタ大学が Linuxカーネルコミュニティへ投稿したパッチの脆弱性について

米ミネソタ大学が Linuxカーネルコミュニティへ投稿したパッチの脆弱性について

米ミネソタ大学が Linuxカーネルコミュニティへ投稿したパッチの脆弱性について

  • 2021年4月21日、The Linux Foundation フェローの Greg Kroah-Hartman 氏[1]が Linuxカーネルのコミュニティにおいて、米ミネソタ大学からの今後の貢献の受け入れ拒否[2] を宣言し、さらにこれに関連して過去にミネソタ大学から投稿されたパッチのコミットの再評価(当該変更の取り消し提案と再レビュー)が始まっています。[3]

 

  • この声明とパッチの再評価の動向は、米ミネソタ大学の研究グループが研究目的で脆弱性を意図的に含んだパッチを Linuxカーネルコミュニティへ投稿し、反応を論文[4] として発表していることと、この論文を読んだカーネルコミュニティの開発者が実際に投稿されたパッチに脆弱性が含まれていることを確認したこと[5]に端を発しています。

 

当社製品への影響

  • 当社製品が含むLinuxカーネルに実際に脆弱性が存在するのか、カーネルのアップストリームコミュニティの動向を把握し、対策要否について調査を行っており、随時情報更新してまいります。

注釈

[1]: https://www.linuxfoundation.jp/about/linux-foundation-fellows/
[2]: 原文では「ban」とあり、これは今後ミネソタ大学からのパッチ投稿による貢献(コントリビューション)を受け付けないという意味です。 https://lore.kernel.org/linux-nfs/YH%2FfM%2FTsbmcZzwnX@kroah.com/
>”Because of this, I will now have to ban all future contributions from
your University and rip out your previous contributions, as they were
obviously submitted in bad-faith with the intent to cause problems.”

[3]: https://lore.kernel.org/lkml/20210421130105.1226686-1-gregkh@linuxfoundation.org/
[4]: https://raw.githubusercontent.com/QiushiWu/qiushiwu.github.io/main/papers/OpenSourceInsecurity.pdf
[5]: https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/

その他:
米ミネソタ大学の当件に関する声明 “Statement from CS&E on Linux Kernel research - April 21, 2021”
https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021

変更履歴

2021年 4月23日 第一報を公開