华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞,华为回应称与公司无关
近日,据外媒 ZDNet 报道,一位华为 L20 首席安全专家在 GitHub上发布了一个 Linux 内核强化补丁 HKSP ,不过,有意思的是,这个补丁很快被开发团队 grsecurity 发现了一个“轻而易举就能利用的”漏洞,立刻引起了热议。

随后,原作者也表示委屈,并站出来澄清原委:
这是我写的 demo code,是为了快速验证这些漏洞缓解措施是否有效的 poc 代码,没有加入安全参数检查,被 grsecurity 的人借机炒作了起来,因为他们不想有人插入漏洞缓解领域的研究。

华为也表示:这是员工个人行为,不代表公司。
事情缘由是这样的:
5 月 10 日,这位华为员工通过邮件列表提交给了官方的 Linux 内核项目。据称该补丁命名为 HKSP(华为内核自我保护),还为 Linux 内核引入了一系列加强安全的选项,并表示进行此更改是为了限制恶意代码创建分布式拒绝服务攻击的能力,并限制发送欺骗数据包(具有伪造源 IP 地址的 TCP/IP 数据包)的能力。

众所周知,大型科技公司通常会向 Linux 内核提交补丁。例如谷歌、微软、亚马逊和其他公司都贡献了代码,所以,HKSP 提交的文件快速引发了 Linux 社区的兴趣,因为这可能表明华为希望尽可能为官方内核做出贡献,于是该补丁也受到了严格的审查。
Linux 是一种开源电脑操作系统内核。它是一个用 C 语言写成,符合 POSIX 标准的类 Unix 操作系统。
最早是由芬兰 Linus Torvalds 为尝试在英特尔 x86 架构上提供自由的类 Unix 操作系统而开发的。该计划开始于 1991 年,在计划的早期有一些 Minix 黑客提供了协助,而今天全球无数程序员正在为该计划无偿提供帮助。
紧接着,开发团队 Grsecurity 却表示,他们发现 HKSP 补丁引入了一个微不足道的可利用的“内核代码中的漏洞。
开发团队 Grsecurity 在帖子中指出,该补丁本身存在漏洞和弱点,并且缺少通常的威胁模型。虽然,补丁的发布者在 GitHub 上的作者标记为来自华为,但 Grsecurity 开发团队在帖子中表示,目前尚不清楚发布的补丁集是否是华为的正式版本,或者该代码是否已经在任何华为设备上发布。

此言论一出,立刻引起了广泛讨论,不少人指责华为试图在 Linux 内核中偷偷引入漏洞。
随后,华为也出面做了表态:华为没有正式参与 HKSP 项目,尽管该项目在其名称中使用了华为的名字,而且该项目是由该公司的一名高级安全工程师开发的。
并表示,该项目是由工程师创建并提交给 Linux 内核项目的,没有得到正式支持,而且 HKSP 代码从未在华为的任何官方产品中实际使用过。
“这只是个人与开源社区 Openwall 进行技术讨论时使用的演示代码。”
5 月 11 日,该补丁的作者也做了更新说明:本项目是我在业余时间做的研究,HKSP 的名字是我自己给的,与华为公司无关,没有华为产品使用这些代码。这个补丁代码是我提出来的,因为一个人没有足够的精力去覆盖每一件事情,所以缺乏像审查和测试这样的质量保证。并且这个补丁只是一个演示代码。

商业用途请联系作者获得授权。
版权声明:本文转载自「雷锋网」,版权归原所有者。
原文链接:https://www.leiphone.com/news/202005/ij7Qkme6pc9T77uW.html
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。微信订阅号
扫码关注「任霏博客」微信订阅号- 大佬 引入jar包那里的 driver class 怎么选的?
- 我也遇到了这个问题,已经解决了,在此分享一下 1、宿主机也要创建kingbase的用户和用户组,并且要查看一下用户和用户组的ID(这个很重要) 2、把data目录的用户和用户组设置为kingbase 3、先不要把data路径挂载到宿主机上,这时就可以正常启动,启动后进入容器,查看一下容器内的kingbase的用户和用户组ID是多少,和第一步的ID是否一致,如果ID一致,那正常挂载目录就行;如果ID不一致,那就需要修改Dockerfile文件,在构建镜像时,修改容器内的用户和用户组ID,必须和宿主机的保持一致。然后重新构建镜像,就可以正常挂载宿主机目录了 4、其实直接修改宿主机的用户和用户组ID也是可以的,但是容器内的ID一般是1000,但是宿主机的这个ID很可能已经被占用了,无法修改,就只能修改容器内的ID
- 接口已经允许跨域请求,也就是说你可以在你的页面上调用,获取用户的公网 IP。 如果你还需要其他需求,可以提交 Issue 给我。
- V008R003C002B0320 这个对应的jdbc链接驱动你在哪里找到的?我也遇到了这个问题。
- WARNING: max_connections should be less than orequal than 10 (restricted by license) HINT: the value of max_connect is set 10 WARNING: max_connections should be less than orequal than 10 (restricted by license) HINT: the value of max_connect is set 10 kingbase: superuser_reserved_connections must be less than max_connections 我按照文档修改了以后,不知道如何重启。
- 然后把数字都改成 1 再启动。 如何重新启动?
- ksql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.KINGBASE.54321"
- 进入容器查看一下日志,是不是启动失败了,日志文件在:/opt/kingbase/logfile
- ksql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.KINGBASE.54321"?
- 先通过 docker exec -it 容器名/id /bin/bash 进入容器,然后在容器中使用 ksql 客户端进行连接数据库:/opt/kingbase/Server/bin/ksql -U system test
- 免费.ml域名10年委托合同到期被马里共和国收回域名经营权
- 从极狐Gitlab看各种中间件技术选型
- 时隔十年首次收到 Google AdSense 的付款
- ga域名被加蓬共和国从Freenom公司手中收回域名经营权
- Freenom 被 Meta(Facebook) 起诉导致暂停 .tk/.ga/.ml/.cf/.gq 等新域名注册
- 生花妙笔信手来 – 基于 Amazon SageMaker 使用 Grounded-SAM 加速电商广告素材生成 [1]
- github.renfei.net 不再完整代理 Github 页面改为代理指定文件
- 优雅的源代码管理(三):本地优雅的使用 Git Rebase 变基
- 优雅的源代码管理(二):Git 的工作原理
- 优雅的源代码管理(一):版本控制系统 VCS(Version Control System)与软件配置管理 SCM(Software Configuration Management)