华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

  • 时间:
  • 浏览:13
  • 来源:云库数动

安全大佬写代码也有翻车的时候。

近日,据外媒 ZDNet 报道,一位华为 L20 首席安全专家在 GitHub上发布了一个 Linux 内核强化补丁 HKSP ,不过,有意思的是,这个补丁很快被开发团队 grsecurity 发现了一个“轻而易举就能利用的”漏洞,立刻引起了热议。

随后,原作者也表示委屈,并站出来澄清原委:

这是我写的 demo code,是为了快速验证这些漏洞缓解措施是否有效的 poc 代码,没有加入安全参数检查,被 grsecurity 的人借机炒作了起来,因为他们不想有人插入漏洞缓解领域的研究。

华为也表示:这是员工个人行为,不代表公司。

事情缘由是这样的:

5 月 10 日,这位华为员工通过邮件列表提交给了官方的 Linux 内核项目。据称该补丁命名为 HKSP(华为内核自我保护),还为 Linux 内核引入了一系列加强安全的选项,并表示进行此更改是为了限制恶意代码创建分布式拒绝服务攻击的能力,并限制发送欺骗数据包(具有伪造源 IP 地址的 TCP/IP 数据包)的能力。

众所周知,大型科技公司通常会向 Linux 内核提交补丁。例如谷歌、微软、亚马逊和其他公司都贡献了代码,所以,HKSP 提交的文件快速引发了 Linux 社区的兴趣,因为这可能表明华为希望尽可能为官方内核做出贡献,于是该补丁也受到了严格的审查。

Linux 是一种开源电脑操作系统内核。它是一个用 C 语言写成,符合 POSIX 标准的类 Unix 操作系统。


最早是由芬兰 Linus Torvalds 为尝试在英特尔 x86 架构上提供自由的类 Unix 操作系统而开发的。该计划开始于 1991 年,在计划的早期有一些 Minix 黑客提供了协助,而今天全球无数程序员正在为该计划无偿提供帮助。

紧接着,开发团队 Grsecurity 却表示,他们发现 HKSP 补丁引入了一个微不足道的可利用的“内核代码中的漏洞。

开发团队 Grsecurity 在帖子中指出,该补丁本身存在漏洞和弱点,并且缺少通常的威胁模型。虽然,补丁的发布者在 GitHub 上的作者标记为来自华为,但 Grsecurity 开发团队在帖子中表示,目前尚不清楚发布的补丁集是否是华为的正式版本,或者该代码是否已经在任何华为设备上发布。

此言论一出,立刻引起了广泛讨论,不少人指责华为试图在 Linux 内核中偷偷引入漏洞。

随后,华为也出面做了表态:华为没有正式参与 HKSP 项目,尽管该项目在其名称中使用了华为的名字,而且该项目是由该公司的一名高级安全工程师开发的。

并表示,该项目是由工程师创建并提交给 Linux 内核项目的,没有得到正式支持,而且 HKSP 代码从未在华为的任何官方产品中实际使用过。

“这只是个人与开源社区 Openwall 进行技术讨论时使用的演示代码。”

5 月 11 日,该补丁的作者也做了更新说明:本项目是我在业余时间做的研究,HKSP 的名字是我自己给的,与华为公司无关,没有华为产品使用这些代码。这个补丁代码是我提出来的,因为一个人没有足够的精力去覆盖每一件事情,所以缺乏像审查和测试这样的质量保证。并且这个补丁只是一个演示代码。

对此,你怎么看呢?

雷锋网雷锋网雷锋网(公众号:雷锋网)

参考资料:

【1】https://www.zdnet.com/article/huawei-denies-involvement-in-buggy-linux-kernel-patch-proposal/

【2】https://github.com/cloudsec/hksp/blob/master/hksp.patch

【3】https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability

【4】https://www.cnet.com/news/us-finds-huawei-has-backdoor-access-to-mobile-networks-globally-report-says/

【5】https://mp.weixin.qq.com/s/3A86kdRrq_SxgEivlg5GCg

猜你喜欢

即将生效的《网络安全审查办法》是针对华为事件的反制利器?专家:不是限制或歧视国外产品

实施了将近三年的《网络产品和服务安全审查办法(试行)》终于要转正了。4月27日,国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》(以下简称《办法》),

2020-05-28

上交所逼问下“供出”华为,寒武纪今年预亏超过去 3 年之和

期待"AI大爆发"的寒武纪,IPO之路一直备受关注。日前,科创板上市委第33次审议会议公告显示,寒武纪将于6月2日正式上会。就在20天前,该公司刚向上交所的首轮"灵魂拷问"交出

2020-05-27

台积电目前正积极协调各大客户 旨在挪出产能优先供给华为

来源:新浪VR据中国台湾地区媒体报道,目前台积电方面正积极联系NVIDIA、AMD、联发科与高通等业内巨头,旨在协调这些大客户的订单,以便挪出部分产能供给华为。据了解,台积电正

2020-05-26

韩媒:华为欲采购三星Exynos处理器

来源:新浪VR5月25日,韩媒《中央日报日文版》发表文章称,华为正试图采购三星Exynos处理器,预估下半年会正式提出供货要求。韩媒指出,华为即便提出要求,三星也不太可能向其供

2020-05-26

华为上线搜索引擎“花瓣搜索”

来源:新浪VR在HMSCore、AppGallery、HEREWeGo之后,华为又上线了一款全新的搜索引擎PetalSearch(花瓣搜索)。花瓣搜索集成了Search、App

2020-05-26