安全動態(tài)

華為頂級安全專家提交Linux內(nèi)核補丁,被指低級漏洞

來源:聚銘網(wǎng)絡    發(fā)布時間:2020-05-14    瀏覽次數(shù):
 

信息來源:Freebuf


近日,圍繞華為L20首席安全專家為Linux內(nèi)核提交補丁卻被發(fā)現(xiàn)漏洞,國內(nèi)外有了很多的討論。今天想和大家梳理一下整個事件,理性判斷。

事情從5月10日開始,華為在內(nèi)核加固郵件列表上公開了一個針對Linux內(nèi)核防御的方案HKSP,這也是很多大型科技公司的常見做法。

1.PNG

但很快,PaX/GRsecurity團隊找到了HKSP方案的一些漏洞并且在網(wǎng)站上公開。針對漏洞問題,此事開始在一些社交網(wǎng)站引發(fā)討論,不斷發(fā)酵。

爭論的點在于:

1、這是否是華為的公司項目 ;

2、如果是公司項目,HKSP是否已經(jīng)集成到華為產(chǎn)品中,帶來安全威脅(HKSP補丁在內(nèi)核代碼中引入了一個“輕而易舉就能利用的”漏洞)。

同時,也由此引發(fā)了多種基于政治背景下的陰謀論。

而在GRsecurity最先發(fā)布的博文里寫道:HKSP作者是一位在華為工作的20級的高級安全雇員;HKSP是一個完全缺乏防御性的程序,引入了可輕易利用的漏洞。

5.PNG

對此,HKSP作者(未經(jīng)證實的信息顯示該作者是HKSP的長期開發(fā)者)在內(nèi)核加固郵件列表中解釋說:這個并不是公司項目而是個人的開源項目。

而在ZeroBin上我們看到了疑似作者的發(fā)聲:

3.PNG

在Github上的作者自述文件中,作者則進一步解釋了,這些是demo code,是主要為了快速驗證這些漏洞緩解措施是否有效的poc代碼,因此沒有加入安全參數(shù)檢查。

4.PNG

而5月11日,華為產(chǎn)品安全應急響應中心發(fā)布公告指出:經(jīng)過調(diào)查HKSP并沒有集成到任何的華為當前產(chǎn)品中。

5月12日,作者已經(jīng)把HKSP名稱修改為AKSP。

最后,此次事件放在一個任何普通的公司都是一件小事,但加上華為、grsecurity、中美貿(mào)易三個杠桿,足以矚目。再加上此前華為也曾被指責在設備中安裝后門,此次就補丁漏洞事件引發(fā)的爭論難免讓人聯(lián)想,是否逐漸脫離事件本身。從開源代碼貢獻的角度來看,全世界范圍內(nèi)有上萬程序員為Linux 內(nèi)核貢獻代碼,而HKSP作者是其中一員,因此,大家對于此事的討論或許更應該集中于開源代碼漏洞本身以及后期修復、處理工作上,而不是盯住瑕疵一味爭論。


 
 

上一篇:聚銘網(wǎng)絡助力石家莊市第四醫(yī)院網(wǎng)絡安全管理建設升級!

下一篇:哈薩爾克斯坦部分國家機關官網(wǎng)遭黑客攻擊