Die Forscher der Universität Minnesota, die versucht haben, Kernel-Maintainer mit präparierten Patches zu täuschen, hatten dazu einen Vortrag beim IEEE Symposium on Security and Privacy (IEEE S&P’21) eingereicht, der dort auch akzeptiert wurde. Das Institute of Electrical and Electronics Engineers (IEEE) bedauert nun, die ethischen Aspekte bei der Prüfung des Vortags außer acht gelassen zu haben.
Genauer geht es darum, inwieweit der die Forscher die Maintainer als Versuchspersonen missbraucht haben, also Forschung mit menschlichen Versuchspersonen betrieben haben. Wie das IEEE in einer Stellungnahme schreibt, sei dieser Aspekt bei der Aufnahme des Vortrags in das Programm des Symposiums nicht berücksichtigt worden. Das sei ein Fehler gewesen, der sich so nicht wiederholen solle, schreibt das IEEE. Man habe sich dafür nun Regeln auferlegt, die eine Ptüfung von Vorträgen nach ethischen Kriterien vorschreiben. Die Forscher hatten ihren Vortrag mit dem Titel Open Source Insecurity: Stealthily Introducing Vulnerabilities via HypocriteCommits, inzwischen selbst zurückgezogen, berichtet das IEEE.
Die Patch-Affäre um die Universität von Minnesota hat mit der Reaktion der IEEE noch weitere Kreise gezogen. Zuvor hatte Kernel-Maintainer Greg Kroah-Hartman alle bislang eingereichten Patches der Universität aus dem Linux-Kernel entfernt. Die Linux Foundation hatte zudem an die Universität geschrieben und einige Forderungen gestellt, die aber nicht veröffentlicht wurden. In einer ausführlichen Stellungnahme wird von der Linux Foundation die Affäre in technischer Hinsicht beleuchtet. Von den präparierten Patches sei keiner in den Kernel gelangt, heißt es außerdem.




Man könnte den Forschern der Universität Minnesota auch danken, dass sie der Linux Foundation auf sehr direkte Art und Weise eine Schwachstelle vorgeführt haben.