更多

    提交有漏洞 Linux 修補 華為急與工程師割蓆

    Eric Chong
    Eric Chong
    商業・科技・創業・編輯

    在開發社群 Openwall 上,最近有人以華為員工身分上傳「 HKSP 」( Huawei Kernel Self Protection )專案的 Linux 核心修補程式碼。資訊安全團隊 GRsecurity 檢視修補程式碼發現安全漏洞,萬一採納成 Linux 核心,會為系統設下後門。被踢爆之後,華為急急發聲明割蓆,強調修補碼與官方無關。

    由於 HKSP 採用華為名字,一般的合理推測與華為有關。 GRsecurity 在 5 月 10 日發表網誌揭露事件。他們指出,檢視 HKSP 的程式碼後,發現雖然是修補漏洞,但卻引發另一漏洞,而且新漏洞是出於欠缺安全意識的編碼,可輕易加以利用( trivially exploitable )。

    在開源社群,大型科技企業不時回饋社群,貢獻加強功能的程式碼。然而,這次涉及華為較為敏感。萬一社群採納這華為員工的漏洞程式碼,將令數以萬計伺服器中門大開,別有用心的人可輕易取得內裡的數據。

    事件遭公開後,華為在翌日發出官方聲明,否認修補程式屬官方版本,而開發人員上傳 Openwall 的示範程式碼,也未用於所有華為裝置中。而該名原作員工就在專案內補充,指程式碼屬個人工餘的研究結果,與公司無關,由於個人精力有限,無法面面俱到。他亦感謝 GRSecurity 指出臭蟲,移除有問題的程式碼,並刪走與華為有關的字句。

    GRSecurity 翌日更新網誌,提到華為與他們聯絡,望能修正描述。不過, GRSecurity 未有修改,還補充資訊。從公開訊息得知,原作者為華為員工,而私下獲告知,此君屬第 20 級的首席安全部門員工,亦是內部技術人員的最高級別,絕非一般開發人員。

    您會感興趣的內容

    相關文章