华为表示,该员工提交的代码是其个人项目的一部分,其行为并不代表公司。
周日这个有缺陷的补丁通过邮件列表提交给了官方的Linux内核项目。该补丁名为HKSP(华为内核自我保护),据称为Linux内核引入了一系列加强安全的选项。
HKSP中惊现轻而易举就能利用的漏洞
周日,提交HKSP引发了Linux社区的普遍关注,这可能表明华为希望为官方内核做出贡献。因此,该补丁立即受到了相关人员的严格审查,其中包括Grsecurity的开发团队,该项目为Linux内核提供了自己的一系列加强安全的补丁。
Grsecurity团队在同一天发表的一篇博文(完整内容:https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability)中表示,该团队发现HKSP补丁在内核代码中引入一个“轻而易举就能利用的”漏洞——如果该补丁得到批准的话。
并称,该补丁提交者身份是华为L20首席安全专家。
种种谣言和阴谋论几乎立马在网上甚嚣尘上,纷纷指责华为企图在Linux内核中偷偷引入安全漏洞。
在当今错综复杂的政治环境下,这种指责既毫无新意也不令人惊讶。在过去这几年,华为多次被指控在其网络设备中植入后门;面对这些指控,华为一直矢口否认,或者试图在Twitter视频中加以解释。
华为声称系员工个人行为
然而,华为在周一发表的一份声明中表示,尽管该项目在标题中使用了华为这个名字,并且该项目确实由华为的一位知名安全工程师开发,但该公司并未正式参与HKSP项目。
华为表示,该项目是由这位工程师创建并提交给Linux内核项目的,并没有得到公司的官方支持,而且HKSP代码也从未实际用于华为的任何官方产品中。
华为声称:“这只是员工个人与开源社区Openwall进行技术讨论所使用的演示代码而已。”
周一HKSP项目也做出更新,华为的这名员工附加了一段类似的免责声明。
华为员工编写的代码里面含有安全漏洞,这种事并不新鲜。英国政府去年的一份报告发现,华为网络设备充斥着许多安全漏洞,这些漏洞常常好几年都没有收到补丁。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
