安基網 首頁 資訊 安全報 查看內容

華為安全專家為Linux內核提交補丁被發現漏洞:華為稱與公司無關

2020-5-14 11:45| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 華為表示,該員工提交的代碼是其個人項目的一部分,其行為并不代表公司。華為周一斷然否認官方參與上周末向Linux內核項目提交不安全補丁的行為,該補丁帶來了一個“輕而易舉就能利用的”漏洞。周日這個有缺陷的補丁通過郵件列表提交給了官方的Linux內核項目。該補丁名為HKSP(華為內核自我保護),據稱 ...

華為表示,該員工提交的代碼是其個人項目的一部分,其行為并不代表公司。


華為周一斷然否認官方參與上周末向Linux內核項目提交不安全補丁的行為,該補丁帶來了一個“輕而易舉就能利用的”漏洞。


周日這個有缺陷的補丁通過郵件列表提交給了官方的Linux內核項目。該補丁名為HKSP(華為內核自我保護),據稱為Linux內核引入了一系列加強安全的選項。



在各自的數據中心和在線服務中大量使用Linux的大型科技公司常常向Linux內核提交補丁。眾所周知,谷歌、微軟和亞馬遜等公司都貢獻了代碼。


HKSP中驚現輕而易舉就能利用的漏洞


周日,提交HKSP引發了Linux社區的普遍關注,這可能表明華為希望為官方內核做出貢獻。因此,該補丁立即受到了相關人員的嚴格審查,其中包括Grsecurity的開發團隊,該項目為Linux內核提供了自己的一系列加強安全的補丁。


Grsecurity團隊在同一天發表的一篇博文(完整內容:https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability)中表示,該團隊發現HKSP補丁在內核代碼中引入一個“輕而易舉就能利用的”漏洞——如果該補丁得到批準的話。



并稱,該補丁提交者身份是華為L20首席安全專家。



種種謠言和陰謀論幾乎立馬在網上甚囂塵上,紛紛指責華為企圖在Linux內核中偷偷引入安全漏洞。


(鏈接:https://news.ycombinator.com/item?id=23137041)


在當今錯綜復雜的政治環境下,這種指責既毫無新意也不令人驚訝。在過去這幾年,華為多次被指控在其網絡設備中植入后門;面對這些指控,華為一直矢口否認,或者試圖在Twitter視頻中加以解釋。


華為聲稱系員工個人行為


然而,華為在周一發表的一份聲明中表示,盡管該項目在標題中使用了華為這個名字,并且該項目確實由華為的一位知名安全工程師開發,但該公司并未正式參與HKSP項目。


華為表示,該項目是由這位工程師創建并提交給Linux內核項目的,并沒有得到公司的官方支持,而且HKSP代碼也從未實際用于華為的任何官方產品中。


華為聲稱:“這只是員工個人與開源社區Openwall進行技術討論所使用的演示代碼而已!


周一HKSP項目也做出更新,華為的這名員工附加了一段類似的免責聲明。



華為員工編寫的代碼里面含有安全漏洞,這種事并不新鮮。英國政府去年的一份報告發現,華為網絡設備充斥著許多安全漏洞,這些漏洞常常好幾年都沒有收到補丁。



相關鏈接:

https://www.openwall.com/lists/kernel-hardening/2020/05/10/3

https://github.com/cloudsec/hksp

https://www.openwall.com/lists/kernel-hardening/2020/05/11/2

https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6826377188430840334/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 河北燕风采排列7开奖结果 扑克3 河北20选5走试图 辽宁11选五预测 极速赛车技巧分析图 私募资产配置类基金管理人 澳洲幸运5稳定计划app 江苏11选5手机版 最新棋牌评测网 江西快三玩法介绍