华为表示,该员工提交的代码是其个人项目的一部分,其行为并不代表公司。
华为周一断然否认官方参与上周末向LINUX内核项目提交不安全补丁的行为,该补丁带来了一个“轻而易举就能利用的”漏洞。
周日这个有缺陷的补丁通过邮件列表提交给了官方的Linux内核项目。该补丁名为HKSP(华为内核自我保护),据称为Linux内核引入了一系列加强安全的选项。
在各自的数据中心和在线服务中大量使用Linux的大型科技公司常常向Linux内核提交补丁。众所周知,谷歌、微软和亚马逊等公司都贡献了代码。
周日,提交HKSP引发了Linux社区的普遍关注,这可能表明华为希望为官方内核做出贡献。因此,该补丁立即受到了相关人员的严格审查,其中包括Grsecurity的开发团队,该项目为Linux内核提供了自己的一系列加强安全的补丁。
Grsecurity团队在同一天发表的一篇博文(完整内容:https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability)中表示,该团队发现HKSP补丁在内核代码中引入一个“轻而易举就能利用的”漏洞——如果该补丁得到批准的话。
并称,该补丁提交者身份是华为L20首席安全专家。
种种谣言和阴谋论几乎立马在网上甚嚣尘上,纷纷指责华为企图在Linux内核中偷偷引入安全漏洞。
(链接:https://news.ycombinator.com/item?id=23137041)
在当今错综复杂的政治环境下,这种指责既毫无新意也不令人惊讶。在过去这几年,华为多次被指控在其网络设备中植入后门;面对这些指控,华为一直矢口否认,或者试图在Twitter视频中加以解释。
然而,华为在周一发表的一份声明中表示,尽管该项目在标题中使用了华为这个名字,并且该项目确实由华为的一位知名安全工程师开发,但该公司并未正式参与HKSP项目。
华为表示,该项目是由这位工程师创建并提交给Linux内核项目的,并没有得到公司的官方支持,而且HKSP代码也从未实际用于华为的任何官方产品中。
华为声称:“这只是员工个人与开源社区Openwall进行技术讨论所使用的演示代码而已。”
周一HKSP项目也做出更新,华为的这名员工附加了一段类似的免责声明。
华为员工编写的代码里面含有安全漏洞,这种事并不新鲜。英国政府去年的一份报告发现,华为网络设备充斥着许多安全漏洞,这些漏洞常常好几年都没有收到补丁。
https://www.openwall.com/lists/kernel-hardening/2020/05/10/3
https://github.com/cloudsec/hksp
https://www.openwall.com/lists/kernel-hardening/2020/05/11/2
https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
