安基网 首页 资讯 安全报 查看内容

华为安全专家为Linux内核提交补丁被发现漏洞:华为称与公司无关

2020-5-14 11:45| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 华为表示,该员工提交的代码是其个人项目的一部分,其行为并不代表公司。华为周一断然否认官方参与上周末向Linux内核项目提交不安全补丁的行为,该补丁带来了一个“轻而易举就能利用的”漏洞。周日这个有缺陷的补丁通过邮件列表提交给了官方的Linux内核项目。该补丁名为HKSP(华为内核自我保护),据称 ...

华为表示,该员工提交的代码是其个人项目的一部分,其行为并不代表公司。


华为周一断然否认官方参与上周末向Linux内核项目提交不安全补丁的行为,该补丁带来了一个“轻而易举就能利用的”漏洞。


周日这个有缺陷的补丁通过邮件列表提交给了官方的Linux内核项目。该补丁名为HKSP(华为内核自我保护),据称为Linux内核引入了一系列加强安全的选项。



在各自的数据中心和在线服务中大量使用Linux的大型科技公司常常向Linux内核提交补丁。众所周知,谷歌、微软和亚马逊等公司都贡献了代码。


HKSP中惊现轻而易举就能利用的漏洞


周日,提交HKSP引发了Linux社区的普遍关注,这可能表明华为希望为官方内核做出贡献。因此,该补丁立即受到了相关人员的严格审查,其中包括Grsecurity的开发团队,该项目为Linux内核提供了自己的一系列加强安全的补丁。


Grsecurity团队在同一天发表的一篇博文(完整内容:https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability)中表示,该团队发现HKSP补丁在内核代码中引入一个“轻而易举就能利用的”漏洞——如果该补丁得到批准的话。



并称,该补丁提交者身份是华为L20首席安全专家。



种种谣言和阴谋论几乎立马在网上甚嚣尘上,纷纷指责华为企图在Linux内核中偷偷引入安全漏洞。


(链接:https://news.ycombinator.com/item?id=23137041)


在当今错综复杂的政治环境下,这种指责既毫无新意也不令人惊讶。在过去这几年,华为多次被指控在其网络设备中植入后门;面对这些指控,华为一直矢口否认,或者试图在Twitter视频中加以解释。


华为声称系员工个人行为


然而,华为在周一发表的一份声明中表示,尽管该项目在标题中使用了华为这个名字,并且该项目确实由华为的一位知名安全工程师开发,但该公司并未正式参与HKSP项目。


华为表示,该项目是由这位工程师创建并提交给Linux内核项目的,并没有得到公司的官方支持,而且HKSP代码也从未实际用于华为的任何官方产品中。


华为声称:“这只是员工个人与开源社区Openwall进行技术讨论所使用的演示代码而已。”


周一HKSP项目也做出更新,华为的这名员工附加了一段类似的免责声明。



华为员工编写的代码里面含有安全漏洞,这种事并不新鲜。英国政府去年的一份报告发现,华为网络设备充斥着许多安全漏洞,这些漏洞常常好几年都没有收到补丁。



相关链接:

https://www.openwall.com/lists/kernel-hardening/2020/05/10/3

https://github.com/cloudsec/hksp

https://www.openwall.com/lists/kernel-hardening/2020/05/11/2

https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6826377188430840334/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部