更多

    提交有漏洞 Linux 修補 華為急與工程師割蓆

    Eric Chong
    Eric Chong
    商業・科技・創業・編輯

    Red Hat:開源混合雲有助企業轉型

    由中國武漢擴散全球的新型冠狀病毒引致的肺炎疫情加速企業數碼轉型,而且愈來愈多採用混合雲技術支援。今年的 Red Hat Forum 亞太區網上虛擬論壇上,該公司亞太地區高級副總裁兼總經理 Dirk-Peter van Leeuwen 稱,開源混合雲需求大增,有助企業適應市場環境的改變。

    拜登醜聞牽連社交平台

    美國政治術語「十月驚奇」( October Surprise )果然給人驚喜,更一次比一次震撼。最新輪到民主黨候選人拜登爆出醜聞,家族勾結外國勢力,包括串通烏克蘭。最令人驚訝是社交平台的反應, Facebook 和 Twitter 都刻意減低傳播。

    VMware:港企面對現實 加速數碼轉型抗疫

    由中國武漢擴散全球的新型冠狀病毒引致的肺炎疫情已經持續大半年, VMware 香港及澳門地區總經理藍建基稱,企業近期開始面對現實,透過數碼科技加快轉型,適應疫情下的新環境。該公司今年推出的以 Kubernetes 為基礎的 Tanzu 平台,協助企業擁有彈性基建容量,亦有助開發團隊轉型。

    在開發社群 Openwall 上,最近有人以華為員工身分上傳「 HKSP 」( Huawei Kernel Self Protection )專案的 Linux 核心修補程式碼。資訊安全團隊 GRsecurity 檢視修補程式碼發現安全漏洞,萬一採納成 Linux 核心,會為系統設下後門。被踢爆之後,華為急急發聲明割蓆,強調修補碼與官方無關。

    由於 HKSP 採用華為名字,一般的合理推測與華為有關。 GRsecurity 在 5 月 10 日發表網誌揭露事件。他們指出,檢視 HKSP 的程式碼後,發現雖然是修補漏洞,但卻引發另一漏洞,而且新漏洞是出於欠缺安全意識的編碼,可輕易加以利用( trivially exploitable )。

    在開源社群,大型科技企業不時回饋社群,貢獻加強功能的程式碼。然而,這次涉及華為較為敏感。萬一社群採納這華為員工的漏洞程式碼,將令數以萬計伺服器中門大開,別有用心的人可輕易取得內裡的數據。

    事件遭公開後,華為在翌日發出官方聲明,否認修補程式屬官方版本,而開發人員上傳 Openwall 的示範程式碼,也未用於所有華為裝置中。而該名原作員工就在專案內補充,指程式碼屬個人工餘的研究結果,與公司無關,由於個人精力有限,無法面面俱到。他亦感謝 GRSecurity 指出臭蟲,移除有問題的程式碼,並刪走與華為有關的字句。

    GRSecurity 翌日更新網誌,提到華為與他們聯絡,望能修正描述。不過, GRSecurity 未有修改,還補充資訊。從公開訊息得知,原作者為華為員工,而私下獲告知,此君屬第 20 級的首席安全部門員工,亦是內部技術人員的最高級別,絕非一般開發人員。

    您會感興趣的內容

    相關文章