2020-05-15 13:18:48

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关


华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

近日,据外媒 ZDNet 报道,一位华为 L20 首席安全专家在 GitHub上发布了一个 Linux 内核强化补丁 HKSP ,不过,有意思的是,这个补丁很快被开发团队 grsecurity 发现了一个“轻而易举就能利用的”漏洞,立刻引起了热议。

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

随后,原作者也表示委屈,并站出来澄清原委:

这是我写的 demo code,是为了快速验证这些漏洞缓解措施是否有效的 poc 代码,没有加入安全参数检查,被 grsecurity 的人借机炒作了起来,因为他们不想有人插入漏洞缓解领域的研究。

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

华为也表示:这是员工个人行为,不代表公司。

事情缘由是这样的:

5 月 10 日,这位华为员工通过邮件列表提交给了官方的 Linux 内核项目。据称该补丁命名为 HKSP(华为内核自我保护),还为 Linux 内核引入了一系列加强安全的选项,并表示进行此更改是为了限制恶意代码创建分布式拒绝服务攻击的能力,并限制发送欺骗数据包(具有伪造源 IP 地址的 TCP/IP 数据包)的能力。

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

众所周知,大型科技公司通常会向 Linux 内核提交补丁。例如谷歌、微软、亚马逊和其他公司都贡献了代码,所以,HKSP 提交的文件快速引发了 Linux 社区的兴趣,因为这可能表明华为希望尽可能为官方内核做出贡献,于是该补丁也受到了严格的审查。

Linux 是一种开源电脑操作系统内核。它是一个用 C 语言写成,符合 POSIX 标准的类 Unix 操作系统。

最早是由芬兰 Linus Torvalds 为尝试在英特尔 x86 架构上提供自由的类 Unix 操作系统而开发的。该计划开始于 1991 年,在计划的早期有一些 Minix 黑客提供了协助,而今天全球无数程序员正在为该计划无偿提供帮助。

紧接着,开发团队 Grsecurity 却表示,他们发现 HKSP 补丁引入了一个微不足道的可利用的“内核代码中的漏洞。

开发团队 Grsecurity 在帖子中指出,该补丁本身存在漏洞和弱点,并且缺少通常的威胁模型。虽然,补丁的发布者在 GitHub 上的作者标记为来自华为,但 Grsecurity 开发团队在帖子中表示,目前尚不清楚发布的补丁集是否是华为的正式版本,或者该代码是否已经在任何华为设备上发布。

此言论一出,立刻引起了广泛讨论,不少人指责华为试图在 Linux 内核中偷偷引入漏洞。

随后,华为也出面做了表态:华为没有正式参与 HKSP 项目,尽管该项目在其名称中使用了华为的名字,而且该项目是由该公司的一名高级安全工程师开发的。

并表示,该项目是由工程师创建并提交给 Linux 内核项目的,没有得到正式支持,而且 HKSP 代码从未在华为的任何官方产品中实际使用过。

“这只是个人与开源社区 Openwall 进行技术讨论时使用的演示代码。”

5 月 11 日,该补丁的作者也做了更新说明:本项目是我在业余时间做的研究,HKSP 的名字是我自己给的,与华为公司无关,没有华为产品使用这些代码。这个补丁代码是我提出来的,因为一个人没有足够的精力去覆盖每一件事情,所以缺乏像审查和测试这样的质量保证。并且这个补丁只是一个演示代码。

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关

商业用途请联系作者获得授权。
版权声明:本文转载自「雷锋网」,版权归原所有者。
原文链接:https://www.leiphone.com/news/202005/ij7Qkme6pc9T77uW.html
评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。

本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!


本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!

关注任霏博客
扫码关注「任霏博客」微信订阅号
微博:任霏博客网
Twitter:@renfeii
Facebook:任霏
最新留言 这个恶意攻击是只有服务器安装有Redis 才会遭受攻击吗 我用电脑和手机分别访问了45,133,203,192 这个ip地址,这个ip地址对应的服务器是不是只托管了脚本,提供木马自动去下载,并没有任何攻击性的东西,是这样的吗? 你好,我这边想问下,镜像服务启动了,该连接哪个数据库呢? 不更新? 优先级低的并不代表一定要等到优先级高的运行完才能运行,只是cpu分配的资源少了而已。 /lib64/ld-linux-x86-64.so.2: No such file or directory 报了这个错误,怎么解决呢 对于一个布道 DevOps 多年的选手来讲,看到这个报告,还是想继续布道布道。虽然是各种对比哈,但是我感觉与 DevOps 太像了(可能是职业病犯了哈)。首先声明本人不是GitLab 用户(因为不免费,没法薅羊毛啊),本人是 GitHub 忠实用户。 首先,你这是田忌赛马的对比,中文对比一事,着实有点可笑 1 土生土长和外来户能立马拉到同一个起跑线上吗? 2 一个真正的开发者应该去提升自己的英语能力,而不是拿全部是中文文档说事。大家都知道现在开源非常热,开发者是开源的主力军,如果要贡献优秀的开源项目(诸如Linux 内核,Kubernetes),英语就是个硬门槛。如果我是你,我倒希望公司内部的系统是英文的,最起码能让我锻炼英语,在看开源项目文档的时候不至于看不懂,提 PR 的时候不至于提交代码的内容描述不清楚而没法被 Merge。 其次,阿里云效、Coding 大家都知道背后站的是谁,很容易造成厂商绑定,现在很多企业都希望不要被厂商绑定。 再者,有一个点需要明白,GitLab 是一个 DevOps 平台,什么叫做 DevOps 平台(DevOps 走到现在,确切的说应该叫做 DevSecOps)?就是覆盖了软件开发生命周期全阶段的,从项目管理到代码托管到安全再到日志监控、甚至包含现在的云原生能力。不仅仅是说一个 CI/CD 就能概括的了的。这一点是 DevOps 布道的真正误区,我见过太多了,我在这儿再布道一哈,CI/CD 不等于 DevOps,他只是 DevOps 落地实践的核心能力。仅凭借一个 CI/CD 能有现成模版就判断出哪个好坏,过于牵强了吧。相信大家真正到项目用的时候,模版是满足不了要求的吧,毕竟大家都很特性化。 最后,还是一个很热的话题,开源,open source。GitLab 是开源的,Coding 和 云效这方面我没看到相关的开源内容(可能是我孤陋寡闻)。大家可以看看国内有多少用 GitLb 的,GitLab 的 CE 版,然后私有化部署,就是很多公司的代码托管 + DevOps 解决方案。 个人愚见,做一些对比报告的时候,还是先需要明白这个产品的定位,去深入挖掘一些真正有意义的对比,这样的对比报告才能有意义。作为一个常年写博客、文章的人来说。你写的每个字、每篇文章,你要想到你的思想会影响到别人。有可能因为你的片面之词,让别人错失一些学习的好机会。 docker run 那一长串后,出来一个字符串,然后去 docker containers 下面看 显示 exited(1);logs 下就一行错误 initdb failed 感谢🙏,第一个问题是空格的问题应该,我逐字敲完后可以构建了.第二个问题是我docker环境的问题,docker更新为最新版后需要重置配置文件.现已经正常使用,再次感谢您的分享和您的细心解答,期待下次相遇😄 还有一个问题可以请教下吗?就是我在容器里建文件夹没有权限,su root后密码不知道是多少,sudo mkdir xxx 提示我,没有sudo命令,请问有好的解决方法吗?谢谢解答 -v 后面可以指定文件吗 我的也是报错,还有。我执行了这个:@localhost kingbase-es-v8-r3-docker % docker run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3 docker: 'run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3' is not a docker command. See 'docker --help' 麻烦帮忙看下,是不是我写的命令有问题,还是版本问题,谢谢啦