米ミネソタ大学が Linuxカーネルコミュニティへ投稿したパッチの脆弱性について
米ミネソタ大学が Linuxカーネルコミュニティへ投稿したパッチの脆弱性について
- 2021年4月21日、The Linux Foundation フェローの Greg Kroah-Hartman 氏[1]が Linuxカーネルのコミュニティにおいて、米ミネソタ大学からの今後の貢献の受け入れ拒否[2] を宣言し、さらにこれに関連して過去にミネソタ大学から投稿されたパッチのコミットの再評価(当該変更の取り消し提案と再レビュー)が始まっています。[3]
- この声明とパッチの再評価の動向は、米ミネソタ大学の研究グループが研究目的で脆弱性を意図的に含んだパッチを Linuxカーネルコミュニティへ投稿し、反応を論文[4] として発表していることと、この論文を読んだカーネルコミュニティの開発者が実際に投稿されたパッチに脆弱性が含まれていることを確認したこと[5]に端を発しています。
追記(2021/05/25)
- 米ミネソタ大学が Linux カーネルコミュニティへ投稿したパッチの再レビューについて、素性を偽って投稿されたパッチを含むミネソタ大学からの 453 のコミットがレビューされました。
結果として、Linux Foundation の Technical Advisory Board (TAB) はミネソタ大学からの投稿された脆弱なパッチは取り込まれていないと報告しました。 https://lore.kernel.org/lkml/202105051005.49BFABCE@keescook/
当社製品への影響
- 当社製品が含む Linuxカーネル には本事件に関係する脆弱性は含まれていないと判断しました。
- 当社技術ブログにて、本事件を含むオープンソースソフトウェアのサプライチェーンを経由して攻撃が行われる可能性についての解説記事を公開しました。よろしければご覧ください。
- オープンソースソフトウェアへのサプライチェーン攻撃はすでに行われているのか?
注釈
[1]: https://www.linuxfoundation.jp/about/linux-foundation-fellows/
[2]: 原文では「ban」とあり、これは今後ミネソタ大学からのパッチ投稿による貢献(コントリビューション)を受け付けないという意味です。 https://lore.kernel.org/linux-nfs/YH%2FfM%2FTsbmcZzwnX@kroah.com/
>”Because of this, I will now have to ban all future contributions from
your University and rip out your previous contributions, as they were
obviously submitted in bad-faith with the intent to cause problems.”
[3]: https://lore.kernel.org/lkml/20210421130105.1226686-1-gregkh@linuxfoundation.org/
[4]: https://raw.githubusercontent.com/QiushiWu/qiushiwu.github.io/main/papers/OpenSourceInsecurity.pdf
[5]: https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/
その他:
米ミネソタ大学の当件に関する声明 “Statement from CS&E on Linux Kernel research - April 21, 2021”
https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021