Un bogue GitHub montrait une porte dérobée apparente dans le noyau Linux

GitHub

Récemment certaines personnes ont remarqué un étrange changement dans le code source du noyau Linux, pour lors de la révision du code du noyau sur GitHub Ils ont remarqué que les modifications apportées par des tiers (ceux qui ont cloné ou bifurqué celui-ci) apparaissaient étrangement dans le référentiel principal.

Cela a attiré l'attention de certains sur l'interface GitHub car une fonctionnalité intéressante a été révélée qui vous permet de présenter les modifications tierces comme une modification déjà incluse dans le projet principal.

Par exemple, aujourd'hui dans les réseaux sociaux, une référence à un changement dans le miroir officiel du référentiel principal du noyau Linux a commencé à se répandre, indiquant le remplacement d'une porte dérobée dans le pilote HID-Samsung.

Une bizarrerie de GitHub a alarmé les développeurs du noyau

Face à ce conflit certains ont commencé à vérifier le code du noyau en particulier dans le pilote Samsung en plus d'essayer de vérifier si la sécurité du noyau avait été compromise.

Une analyse de la situation a montré que GitHub, pour optimiser le stockage et minimiser la duplication des données sur ses serveurs, stocke tous les objets du référentiel principal et les fourchettes qui lui sont associées, partageant logiquement la propriété des commits.

Avec lequel Ce stockage permet à toute personne qui navigue dans le code de voir toute confirmation de n'importe quel fork dans n'importe quel référentiel associé, en indiquant explicitement son hachage dans l'URL.

Par exemple, dans le cas d'une démo de porte dérobée, l'un des utilisateurs a créé un fork du référentiel principal du noyau Linux dans l'interface GitHub, puis a ajouté un commit avec du code de type backdoor à son fork.

Après cela, il a formé un lien où l'identifiant SHA1 du changement externe a été remplacé dans l'URL du référentiel principal.

Lorsqu'un lien similaire est ouvert, un commit externe est affiché dans l'interface GitHub dans le contexte du référentiel principal, même s'il a été fait sur la fourche et n'a rien à voir avec le référentiel principal et qu'il n'y a pas de tel commit dedans.

erreur github

En outre, Dans l'interface GitHub, lors de l'affichage du journal des modifications pour des fichiers individuels, le référentiel principal affiche également les commits tiers, ce qui crée beaucoup de confusion.

Cela a alarmé certains car ils pensaient qu'il s'agissait d'un piratage et qu'ils avaient introduit du code malveillant dans le code source du noyau Linux.

Eh bien, comme nous pouvons le voir dans l'image à première vue, il semblerait que le code inséré fasse partie de ce qui est stocké dans le référentiel principal du noyau Linux.

Et qu'au début, il ne fait pas référence aux référentiels externes où les modifications ont été apportées.

C'était une fausse alerte

Cette "erreur" (pour ainsi dire) en inquiétait beaucoup, car pour le moment ils ne savaient pas s'ils couraient déjà des risques ou si l'intégrité du noyau avait été compromise.

Je passe peu de temps afin qu'ils se rendent compte que lors de l'extraction de données ou du clonage d'un référentiel à l'aide des commandes git, les modifications tierces dans le référentiel résultant étaient manquantes.

GitHub a simplement présenté les changements en un coup d'œil alors qu'en réalité ce n'est pas le cas.

Moment on n'en sait plus rien et si les gens de Github (Microsoft) ont en tête de donner une solution à ce problème, ce qui n'affecte pas directement le développement, encore moins lors de l'obtention du code source du noyau.

Mais que se passe-t-il si cela peut dérouter beaucoup de ceux qui choisissent de revoir certaines parties des projets stockés sur Github.

Eh bien, ce n'est pas quelque chose qui est montré directement dans le code du noyau Linux, mais il sera également affiché dans les fourches ou les fourchettes d'autres projets.

Il est donc possible que de nombreux développeurs ou utilisateurs de cette plateforme aient déjà envoyé des emails aux personnes de GitHub.

Si vous voulez en savoir un peu plus sur ce sujetpuedes visitar le lien suivant où le code qui a formé cette situation est toujours affiché et aussi les commentaires le concernant à ce sujet ici.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.