华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

栏目: IT技术 · 发布时间: 4年前

内容简介:近日,围绕华为L20首席安全专家为Linux内核提交补丁却被发现漏洞,国内外有了很多的讨论。今天想和大家梳理一下整个事件,理性判断。事情从5月10日开始,华为在

近日,围绕华为L20首席安全专家为 Linux 内核提交补丁却被发现漏洞,国内外有了很多的讨论。今天想和大家梳理一下整个事件,理性判断。

事情从5月10日开始,华为在 内核加固邮件列表上 公开了一个针对Linux内核防御的方案HKSP,这也是很多大型科技公司的常见做法。

华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

但很快,PaX/GRsecurity团队找到了 HKSP方案的一些漏洞并且在网站上公开 。针对漏洞问题,此事开始在一些社交网站引发讨论,不断发酵。

争论的点在于:

1、这是否是华为的公司项目 ;
2、如果是公司项目,HKSP是否已经集成到华为产品中,带来安全威胁(HKSP补丁在内核代码中引入了一个“轻而易举就能利用的”漏洞)。

同时,也由此引发了多种基于政治背景下的阴谋论。

而在GRsecurity最先发布的 博文 里写道:HKSP作者是一位在华为工作的20级的高级安全雇员;HKSP是一个完全缺乏防御性的程序,引入了可轻易利用的漏洞。

华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

对此,HKSP作者(未经证实的信息显示该作者是 HKSP的长期开发者 )在内核加固邮件列表中解释说:这个 并不是公司项目而是个人的开源项目

而在ZeroBin上我们看到了疑似作者的发声:

华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

在Github上的作者自述文件中,作者则进一步解释了,这些是demo code,是主要为了快速验证这些漏洞缓解措施是否有效的poc代码,因此没有加入安全参数检查。

华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

而5月11日,华为产品安全应急响应中心发布公告指出:经过调查 HKSP并没有集成到任何的华为当前产品中

5月12日,作者已经把HKSP名称修改为AKSP。

最后,此次事件放在一个任何普通的公司都是一件小事,但加上华为、grsecurity、中美贸易三个杠杆,足以瞩目。再加上此前华为也曾被指责在设备中安装后门,此次就补丁漏洞事件引发的争论难免让人联想,是否逐渐脱离事件本身。从开源代码贡献的角度来看,全世界范围内有上万 程序员 为Linux 内核贡献代码,而HKSP作者是其中一员,因此,大家对于此事的讨论或许更应该集中于开源代码漏洞本身以及后期修复、 处理 工作上,而不是盯住瑕疵一味争论。

*本文作者:kirazhou,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

演算法圖鑑

演算法圖鑑

石田保輝、宮崎修一 / 陳彩華 / 臉譜 / 2017-12 / TWD450

★日本超人氣演算法學習書 ★逾50萬次下載量,「Apple年度最佳APP」書籍化! ★隨書附贈獨家贈品「圖形搜尋和排序圖解記憶表」 ★★ 讀再多文字解說都看不懂?沒關係,全部畫給你看,一次弄懂演算法到底是什麼!★★ ●直觀理解,從基礎開始學習,一用就上手的演算法專書! ●全圖像化step by step,完整拆解制霸AI時代的演算法精髓! ●詳解演算法的奧妙、執......一起来看看 《演算法圖鑑》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具