华为否认参与提交Linux不安全补丁
近日,据外媒 zdnet 报道,一位华为 l20 首席安全专家在 github上发布了一个 linux 内核强化补丁 hksp ,不过,有意思的是,这个补丁很快被开发团队 grsecurity 发现了一个“轻而易举就能利用的”漏洞,不少人指责华为试图在 linux 内核中偷偷引入漏洞。华为表示:这是员工个人行为,不代表公司。
该漏洞补丁已通过星期日的邮件列表提交给了正式的linux内核项目。该补丁名为hksp(华为内核自我保护),据称为linux内核引入了一系列安全强化选项。
hksp提交的文件引发了对linux社区的兴趣,这可能表明华为希望为官方内核做出贡献。因此,该补丁受到了严格的审查,其中包括来自grsecurity的开发人员,该项目为linux内核提供了自己的一套安全加固补丁。
在同一天发布的博客文章中,grsecurity团队说,它发现hksp补丁程序在内核代码中引入了“可轻易利用的 ”漏洞(如果该补丁程序需要批准)。
披露补丁存在问题的开发团队 grsecurity 在原帖中指出补丁 github 仓库作者标记为来自华为,并且该补丁直接冠名“华为”,不过保留了意见:目前尚不清楚发布的补丁集是否是华为的正式版本,或者该代码是否已经在任何华为设备上发布。
华为在周一的一份声明中表示,尽管该项目的名称中使用了“华为”,并且该项目是由其一名*安全工程师开发的,但华为并未正式参与 hksp 项目。
华为同时也表示,该项目代码从未在任何正式的华为产品中实际使用过:“这只是个人用于与开源社区 openwall 进行技术讨论的演示代码。”
项目作者也在仓库中添加了说明:此项目是我业余时间的研究工作,hksp 是我自己提供的,与华为公司无关,没有华为产品使用这些代码。
上一篇: 昨晚谁说的只抱抱来着。。。可结果呢
下一篇: 我是不是傻孩子啊?