华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

栏目: IT技术 · 发布时间: 4年前

内容简介:近日,围绕华为L20首席安全专家为Linux内核提交补丁却被发现漏洞,国内外有了很多的讨论。今天想和大家梳理一下整个事件,理性判断。事情从5月10日开始,华为在

近日,围绕华为L20首席安全专家为 Linux 内核提交补丁却被发现漏洞,国内外有了很多的讨论。今天想和大家梳理一下整个事件,理性判断。

事情从5月10日开始,华为在 内核加固邮件列表上 公开了一个针对Linux内核防御的方案HKSP,这也是很多大型科技公司的常见做法。

华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

但很快,PaX/GRsecurity团队找到了 HKSP方案的一些漏洞并且在网站上公开 。针对漏洞问题,此事开始在一些社交网站引发讨论,不断发酵。

争论的点在于:

1、这是否是华为的公司项目 ;
2、如果是公司项目,HKSP是否已经集成到华为产品中,带来安全威胁(HKSP补丁在内核代码中引入了一个“轻而易举就能利用的”漏洞)。

同时,也由此引发了多种基于政治背景下的阴谋论。

而在GRsecurity最先发布的 博文 里写道:HKSP作者是一位在华为工作的20级的高级安全雇员;HKSP是一个完全缺乏防御性的程序,引入了可轻易利用的漏洞。

华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

对此,HKSP作者(未经证实的信息显示该作者是 HKSP的长期开发者 )在内核加固邮件列表中解释说:这个 并不是公司项目而是个人的开源项目

而在ZeroBin上我们看到了疑似作者的发声:

华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

在Github上的作者自述文件中,作者则进一步解释了,这些是demo code,是主要为了快速验证这些漏洞缓解措施是否有效的poc代码,因此没有加入安全参数检查。

华为L20首席安全专家提交Linux内核补丁,被指低级漏洞

而5月11日,华为产品安全应急响应中心发布公告指出:经过调查 HKSP并没有集成到任何的华为当前产品中

5月12日,作者已经把HKSP名称修改为AKSP。

最后,此次事件放在一个任何普通的公司都是一件小事,但加上华为、grsecurity、中美贸易三个杠杆,足以瞩目。再加上此前华为也曾被指责在设备中安装后门,此次就补丁漏洞事件引发的争论难免让人联想,是否逐渐脱离事件本身。从开源代码贡献的角度来看,全世界范围内有上万 程序员 为Linux 内核贡献代码,而HKSP作者是其中一员,因此,大家对于此事的讨论或许更应该集中于开源代码漏洞本身以及后期修复、 处理 工作上,而不是盯住瑕疵一味争论。

*本文作者:kirazhou,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

生态战略:设计未来企业新模式

生态战略:设计未来企业新模式

周文艺 / 机械工业出版社 / 2017-3 / 49.00

思想影响战略,战略决定组织。在充满高度不确定性的今天,企业要生存和发展,必须不断进行组织变革与进化,跨越不连续性的鸿沟。本书分析了大量互联网生态型企业的案例,从生态思维进化、生态战略构建和生态组织变革三个角度出发,全面阐述了企业的进化之路。 本书认为,生态是企业进化的核心思想,企业须重新定义增长模式,从封闭的企业链转向开放的价值网,不断创新文化、技术和连接,培育新物种,实现企业从技术生态位到......一起来看看 《生态战略:设计未来企业新模式》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具