更多

    提交有漏洞 Linux 修補 華為急與工程師割蓆

    Eric Chong
    Eric Chong
    商業・科技・創業・編輯

    Veeam 進入第二階段 活用備份數據

    Veeam 以備份虛擬機器軟件起家,至今達成 10 億美元年度收入,開始進入下一階段,利用備份數據發掘價值。旗下多個軟件產品亦將會推出新版本,加強備份功能,包括預覽旗艦產品 Veeam Availability Suite v11 。

    HP Workpath 平台 打印機 app 融入業務流程

    企業將業務流程融入 IT 方案,有助提升營運效率。 HP 新增應用程式平台 Workpath,開放打印機生態系統,由合作夥伴開發商用 app,將企業流程與打印機整合,節省時間處理文件。同時推出雲端打印平台 Roam for Business 和雲端安全打印功能 True Cloud Secure Print 。

    Facebook 抽廣告潮

    美籍男子 George Floyd 被警暴致死,引發關注種族歧視問題,事件持續發酵並延燒至社交網絡。美國多個人權組織發起「 #StopHateforProfit 」運動,呼籲良心企業抽起在社交網絡的廣告,不要任由平台傳播仇恨言論, Facebook 首當其衝。事件隨時成為YouTube「黃標」的翻版。

    在開發社群 Openwall 上,最近有人以華為員工身分上傳「 HKSP 」( Huawei Kernel Self Protection )專案的 Linux 核心修補程式碼。資訊安全團隊 GRsecurity 檢視修補程式碼發現安全漏洞,萬一採納成 Linux 核心,會為系統設下後門。被踢爆之後,華為急急發聲明割蓆,強調修補碼與官方無關。

    由於 HKSP 採用華為名字,一般的合理推測與華為有關。 GRsecurity 在 5 月 10 日發表網誌揭露事件。他們指出,檢視 HKSP 的程式碼後,發現雖然是修補漏洞,但卻引發另一漏洞,而且新漏洞是出於欠缺安全意識的編碼,可輕易加以利用( trivially exploitable )。

    在開源社群,大型科技企業不時回饋社群,貢獻加強功能的程式碼。然而,這次涉及華為較為敏感。萬一社群採納這華為員工的漏洞程式碼,將令數以萬計伺服器中門大開,別有用心的人可輕易取得內裡的數據。

    事件遭公開後,華為在翌日發出官方聲明,否認修補程式屬官方版本,而開發人員上傳 Openwall 的示範程式碼,也未用於所有華為裝置中。而該名原作員工就在專案內補充,指程式碼屬個人工餘的研究結果,與公司無關,由於個人精力有限,無法面面俱到。他亦感謝 GRSecurity 指出臭蟲,移除有問題的程式碼,並刪走與華為有關的字句。

    GRSecurity 翌日更新網誌,提到華為與他們聯絡,望能修正描述。不過, GRSecurity 未有修改,還補充資訊。從公開訊息得知,原作者為華為員工,而私下獲告知,此君屬第 20 級的首席安全部門員工,亦是內部技術人員的最高級別,絕非一般開發人員。

    相關文章