华为被抓小辫子:L20首席安全专家为Linux内核提交补丁被发现「漏洞」

本文转自公众号:云头条
华为表示,该员工提交的代码是其个人项目的一部分,其行为并不代表公司。
华为周一断然否认官方参与上周末向Linux内核项目提交不安全补丁的行为,该补丁带来了一个“轻而易举就能利用的”漏洞。
周日这个有缺陷的补丁通过邮件列表提交给了官方的Linux内核项目。该补丁名为HKSP(华为内核自我保护),据称为Linux内核引入了一系列加强安全的选项。
华为被抓小辫子:L20首席安全专家为Linux内核提交补丁被发现「漏洞」插图
在各自的数据中心和在线服务中大量使用Linux的大型科技公司常常向Linux内核提交补丁。众所周知,谷歌、微软和亚马逊等公司都贡献了代码。
HKSP中惊现轻而易举就能利用的漏洞
周日,提交HKSP引发了Linux社区的普遍关注,这可能表明华为希望为官方内核做出贡献。因此,该补丁立即受到了相关人员的严格审查,其中包括Grsecurity的开发团队,该项目为Linux内核提供了自己的一系列加强安全的补丁。
Grsecurity团队在同一天发表的一篇博文(完整内容:https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability)中表示,该团队发现HKSP补丁在内核代码中引入一个“轻而易举就能利用的”漏洞——如果该补丁得到批准的话。
华为被抓小辫子:L20首席安全专家为Linux内核提交补丁被发现「漏洞」插图1

并称,该补丁提交者身份是华为L20首席安全专家。

华为被抓小辫子:L20首席安全专家为Linux内核提交补丁被发现「漏洞」插图2
种种谣言和阴谋论几乎立马在网上甚嚣尘上,纷纷指责华为企图在Linux内核中偷偷引入安全漏洞。
华为被抓小辫子:L20首席安全专家为Linux内核提交补丁被发现「漏洞」插图3
(链接:https://news.ycombinator.com/item?id=23137041)
在当今错综复杂的政治环境下,这种指责既毫无新意也不令人惊讶。在过去这几年,华为多次被指控在其网络设备中植入后门;面对这些指控,华为一直矢口否认,或者试图在Twitter视频中加以解释。
华为声称系员工个人行为
 
然而,华为在周一发表的一份声明中表示,尽管该项目在标题中使用了华为这个名字,并且该项目确实由华为的一位知名安全工程师开发,但该公司并未正式参与HKSP项目。
华为表示,该项目是由这位工程师创建并提交给Linux内核项目的,并没有得到公司的官方支持,而且HKSP代码也从未实际用于华为的任何官方产品中。
华为声称:“这只是员工个人与开源社区Openwall进行技术讨论所使用的演示代码而已。”
周一HKSP项目也做出更新,华为的这名员工附加了一段类似的免责声明。
华为被抓小辫子:L20首席安全专家为Linux内核提交补丁被发现「漏洞」插图4
华为员工编写的代码里面含有安全漏洞,这种事并不新鲜。英国政府去年的一份报告发现,华为网络设备充斥着许多安全漏洞,这些漏洞常常好几年都没有收到补丁。
华为被抓小辫子:L20首席安全专家为Linux内核提交补丁被发现「漏洞」插图5
相关链接:
https://www.openwall.com/lists/kernel-hardening/2020/05/10/3
https://github.com/cloudsec/hksp
https://www.openwall.com/lists/kernel-hardening/2020/05/11/2
https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability

给TA打赏
共{{data.count}}人
人已打赏
大事件

景安服务器将必须在景安接入备案才可以用

2020-5-13 12:28:58

大事件

“互联网营销师”正式成为国家认证的新兴职业

2020-5-14 18:04:57

在线客服
主机吧
我们将24小时内回复。
2024-10-12 07:37:27
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[QQ客服]
176363189
当幸福来敲门
[小黄]
17307799197
[企业邮箱]
sudu@yunjiasu.cc
取消

选择聊天工具: