A Linux 6.16 verzió fejlesztési ablakának hétvégéjét szokatlan incidens zavarta meg, amikor Linus Torvalds váratlan és aggasztó változtatásokat észlelt az egyik régi fejlesztő, Kees Cook Git-fájában. A commitok között olyan bejegyzések szerepeltek, amelyek teljesen hamisnak tűntek, és amelyek szerzőjeként – tévesen – maga Torvalds volt feltüntetve. A vezető fejlesztő emiatt szombaton kemény hangvételű üzenetet küldött a kernel fejlesztői levelezőlistára, amelyben arra utalt, hogy a Linux kernel fában lévő tartalom „aktív rosszindulatú beavatkozás” eredménye lehet. Külön kiemelte azt a commitot, amely a driver-core-6.16-rc1 címkét viselte, ám valótlan módon őt tüntette fel készítőként, noha az eredeti, valós SHA1-azonosító teljesen más volt.
Tartalomjegyzék
A probléma tisztázásáig Cook fiókja tiltásra került
Torvalds azonnal arra kérte a Linux kernel otthonának számító kernel.org adminisztrátorát, Konstantin Ryabitsev-et, hogy tiltsa le Kees Cook fiókját, amíg az eset hátterét ki nem derítik. Kifejtette, hogy ilyen „szabálytalan játékok” semmilyen formában nem megengedhetők a kernel fejlesztési infrastruktúrájában. A döntést követően a kérdéses fiók azonnal zárolásra került. Kees szintén meglepetésként élte meg az incidenst, és azonnal megkezdte saját foltjainak újraépítését egy teljesen tiszta Git-fáról.
A hiba forrása: automatizált szkriptek és b4 integráció
A vizsgálat előrehaladtával egyre inkább úgy tűnik, hogy nem szándékos visszaélés, hanem hibás automatizálás áll az eset hátterében. A gyanú szerint a b4 eszköz és a git-filter-repo használata során létrehozott szkriptek okozták a Git-fa meghibásodását. Linus Torvalds úgy véli, az általa tapasztalt átírások nem lehetnek véletlenek, mivel még a commitálók személye is megváltozott, amit a Git normál működése nem idézne elő. Ráadásul nem elszigetelt esetekről, hanem több ezer commit átszerkesztéséről van szó, ami jelentősen torzította a tárolt előzményeket.
Noha a jelek egyelőre nem utalnak szándékos károkozásra, az incidens komoly fennakadást okozott a Linux 6.16 kernel összevonási időszakában. A történtek pontos okai továbbra sem tisztázottak, így a vizsgálat folytatódik. Ami biztos: az eset komoly figyelmeztetés arra, hogy a fejlesztési folyamatban alkalmazott szkriptek kezelése különös odafigyelést igényel.
