您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给刘琳
发送

0

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

本文作者: 刘琳 2020-05-14 18:36
导语:员工提交代码是个人项目的一部分,不代表公司。

安全大佬写代码也有翻车的时候。

近日,据外媒 ZDNet 报道,一位华为 L20 首席安全专家在 GitHub上发布了一个 Linux 内核强化补丁 HKSP ,不过,有意思的是,这个补丁很快被开发团队 grsecurity 发现了一个“轻而易举就能利用的”漏洞,立刻引起了热议。

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

随后,原作者也表示委屈,并站出来澄清原委:

这是我写的 demo code,是为了快速验证这些漏洞缓解措施是否有效的 poc 代码,没有加入安全参数检查,被 grsecurity 的人借机炒作了起来,因为他们不想有人插入漏洞缓解领域的研究。

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

华为也表示:这是员工个人行为,不代表公司。

事情缘由是这样的:

5 月 10 日,这位华为员工通过邮件列表提交给了官方的 Linux 内核项目。据称该补丁命名为 HKSP(华为内核自我保护),还为 Linux 内核引入了一系列加强安全的选项,并表示进行此更改是为了限制恶意代码创建分布式拒绝服务攻击的能力,并限制发送欺骗数据包(具有伪造源 IP 地址的 TCP/IP 数据包)的能力。

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

众所周知,大型科技公司通常会向 Linux 内核提交补丁。例如谷歌、微软、亚马逊和其他公司都贡献了代码,所以,HKSP 提交的文件快速引发了 Linux 社区的兴趣,因为这可能表明华为希望尽可能为官方内核做出贡献,于是该补丁也受到了严格的审查。

Linux 是一种开源电脑操作系统内核。它是一个用 C 语言写成,符合 POSIX 标准的类 Unix 操作系统。


最早是由芬兰 Linus Torvalds 为尝试在英特尔 x86 架构上提供自由的类 Unix 操作系统而开发的。该计划开始于 1991 年,在计划的早期有一些 Minix 黑客提供了协助,而今天全球无数程序员正在为该计划无偿提供帮助。

紧接着,开发团队 Grsecurity 却表示,他们发现 HKSP 补丁引入了一个微不足道的可利用的“内核代码中的漏洞。

开发团队 Grsecurity 在帖子中指出,该补丁本身存在漏洞和弱点,并且缺少通常的威胁模型。虽然,补丁的发布者在 GitHub 上的作者标记为来自华为,但 Grsecurity 开发团队在帖子中表示,目前尚不清楚发布的补丁集是否是华为的正式版本,或者该代码是否已经在任何华为设备上发布。

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

此言论一出,立刻引起了广泛讨论,不少人指责华为试图在 Linux 内核中偷偷引入漏洞。

随后,华为也出面做了表态:华为没有正式参与 HKSP 项目,尽管该项目在其名称中使用了华为的名字,而且该项目是由该公司的一名高级安全工程师开发的。

并表示,该项目是由工程师创建并提交给 Linux 内核项目的,没有得到正式支持,而且 HKSP 代码从未在华为的任何官方产品中实际使用过。

“这只是个人与开源社区 Openwall 进行技术讨论时使用的演示代码。”

5 月 11 日,该补丁的作者也做了更新说明:本项目是我在业余时间做的研究,HKSP 的名字是我自己给的,与华为公司无关,没有华为产品使用这些代码。这个补丁代码是我提出来的,因为一个人没有足够的精力去覆盖每一件事情,所以缺乏像审查和测试这样的质量保证。并且这个补丁只是一个演示代码。

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

对此,你怎么看呢?

雷锋网雷锋网雷锋网

参考资料:

【1】https://www.zdnet.com/article/huawei-denies-involvement-in-buggy-linux-kernel-patch-proposal/

【2】https://github.com/cloudsec/hksp/blob/master/hksp.patch

【3】https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability

【4】https://www.cnet.com/news/us-finds-huawei-has-backdoor-access-to-mobile-networks-globally-report-says/

【5】https://mp.weixin.qq.com/s/3A86kdRrq_SxgEivlg5GCg

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说