华为表示,该员工提交的代码是其个人项目的一部分,其行为并不代表公司。华为周一断然否认官方参与上周末向Linux内核项目提交不安全补丁的行为,该补丁带来了一个“轻而易举就能利用的”漏洞。周日这个有缺陷的补丁通过邮件列表提交给了官方的Linux内核项目。该补丁名为HKSP(华为内核自我保护),据称为Linux内核引入了一系列加强安全的选项。在各自的数据中心和在线服务中大量使用Linux的大型科技公司常常向Linux内核提交补丁。众所周知,谷歌、微软和亚马逊等公司都贡献了代码。周日,提交HKSP引发了Linux社区的普遍关注,这可能表明华为希望为官方内核做出贡献。因此,该补丁立即受到了相关人员的严格审查,其中包括Grsecurity的开发团队,该项目为Linux内核提供了自己的一系列加强安全的补丁。Grsecurity团队在同一天发表的一篇博文(完整内容:https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability)中表示,该团队发现HKSP补丁在内核代码中引入一个“轻而易举就能利用的”漏洞——如果该补丁得到批准的话。并称,该补丁提交者身份是华为L20首席安全专家。
种种谣言和阴谋论几乎立马在网上甚嚣尘上,纷纷指责华为企图在Linux内核中偷偷引入安全漏洞。(链接:https://news.ycombinator.com/item?id=23137041)在当今错综复杂的政治环境下,这种指责既毫无新意也不令人惊讶。在过去这几年,华为多次被指控在其网络设备中植入后门;面对这些指控,华为一直矢口否认,或者试图在Twitter视频中加以解释。然而,华为在周一发表的一份声明中表示,尽管该项目在标题中使用了华为这个名字,并且该项目确实由华为的一位知名安全工程师开发,但该公司并未正式参与HKSP项目。华为表示,该项目是由这位工程师创建并提交给Linux内核项目的,并没有得到公司的官方支持,而且HKSP代码也从未实际用于华为的任何官方产品中。华为声称:“这只是员工个人与开源社区Openwall进行技术讨论所使用的演示代码而已。”周一HKSP项目也做出更新,华为的这名员工附加了一段类似的免责声明。华为员工编写的代码里面含有安全漏洞,这种事并不新鲜。英国政府去年的一份报告发现,华为网络设备充斥着许多安全漏洞,这些漏洞常常好几年都没有收到补丁。https://www.openwall.com/lists/kernel-hardening/2020/05/10/3https://github.com/cloudsec/hksphttps://www.openwall.com/lists/kernel-hardening/2020/05/11/2https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability
在线客服
2024-11-21 21:08:30
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
当幸福来敲门
