华为L20首席安全专家为Linux内核提交补丁被发现「漏洞」：华为称其行为并不代

华为表示，该员工提交的代码是其个人项目的一部分，其行为并不代表公司。

华为周一断然否认官方参与上周末向Linux内核项目提交不安全补丁的行为，该补丁带来了一个“轻而易举就能利用的”漏洞。

周日这个有缺陷的补丁通过邮件列表提交给了官方的Linux内核项目。该补丁名为HKSP（华为内核自我保护），据称为Linux内核引入了一系列加强安全的选项。

在各自的数据中心和在线服务中大量使用Linux的大型科技公司常常向Linux内核提交补丁。众所周知，谷歌、微软和亚马逊等公司都贡献了代码。

HKSP中惊现轻而易举就能利用的漏洞

周日，提交HKSP引发了Linux社区的普遍关注，这可能表明华为希望为官方内核做出贡献。因此，该补丁立即受到了相关人员的严格审查，其中包括Grsecurity的开发团队，该项目为Linux内核提供了自己的一系列加强安全的补丁。

Grsecurity团队在同一天发表的一篇博文（完整内容：grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability）中表示，该团队发现HKSP补丁在内核代码中引入一个“轻而易举就能利用的”漏洞——如果该补丁得到批准的话。

并称，该补丁提交者身份是华为L20首席安全专家。

种种谣言和阴谋论几乎立马在网上甚嚣尘上，纷纷指责华为企图在Linux内核中偷偷引入安全漏洞。

（链接：news.ycombinator.com/item?id=23137041）

在当今错综复杂的政治环境下，这种指责既毫无新意也不令人惊讶。在过去这几年，华为多次被指控在其网络设备中植入后门；面对这些指控，华为一直矢口否认，或者试图在Twitter视频中加以解释。

华为声称系员工个人行为

然而linux漏洞，华为在周一发表的一份声明中表示，尽管该项目在标题中使用了华为这个名字，并且该项目确实由华为的一位知名安全工程师开发，但该公司并未正式参与HKSP项目。

华为表示，该项目是由这位工程师创建并提交给Linux内核项目的，并没有得到公司的官方支持，而且HKSP代码也从未实际用于华为的任何官方产品中。

华为声称：“这只是员工个人与开源社区Openwall进行技术讨论所使用的演示代码而已。”

周一HKSP项目也做出更新，华为的这名员工附加了一段类似的免责声明。

华为员工编写的代码里面含有安全漏洞，这种事并不新鲜。英国政府去年的一份报告发现，华为网络设备充斥着许多安全漏洞，这些漏洞常常好几年都没有收到补丁。

相关链接：openwall.com/lists/kernel-hardening/2020/05/10/3://www.openwall.com/lists/kernel-hardening/2020/05/11/2

（编辑：南京站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!