※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-05-18 15:24:42
看板 Gossiping
作者 標題 [新聞] 爆Linux修補專案有後門,華為否認與之有
時間 Fri May 15 15:42:23 2020
1.媒體來源:
ithome
2.記者署名:
文/林妍溱 | 2020-05-14發表
3.完整新聞標題:
爆Linux修補專案有後門,華為否認與之有關
4.完整新聞內文:
近日的一批疑似來自華為的Linux修補專案引爆後門程式疑慮,華為對此出面駁斥和該專
案的關聯性。
近日一個名為HKSP(Huawei Kernel Self Protection)專案上傳到開發社群Openwall網
站上,宣稱專案旨在強化Linux核心的安全性。原作者說明,這專案是他工作之餘的研究
結果,和華為公司無關。他並表示,由於個人精力有限,無法面面俱到,因此警告本專案
欠缺品質控管,像是檢查或測試,也說只是一個示範程式。
站上,宣稱專案旨在強化Linux核心的安全性。原作者說明,這專案是他工作之餘的研究
結果,和華為公司無關。他並表示,由於個人精力有限,無法面面俱到,因此警告本專案
欠缺品質控管,像是檢查或測試,也說只是一個示範程式。
不過由於名稱中有華為字樣,外界仍相信這個專案來自華為。事實上,Google、微軟或
Amazon、IBM等公司因為大量使用Linux具有足夠開發資源,回饋Linux核心強化的專案也
所在多有,華為上傳程式碼也無可厚非。然而華為在網路設備上的爭議猶存,使這個專案
格外受關注。
Amazon、IBM等公司因為大量使用Linux具有足夠開發資源,回饋Linux核心強化的專案也
所在多有,華為上傳程式碼也無可厚非。然而華為在網路設備上的爭議猶存,使這個專案
格外受關注。
一家安全廠商GRsecurity發現HKSP中有漏洞,該公司認為該漏洞出於完全欠缺安全防護意
識的編寫,而「可輕易開採」(trivially exploitable)。這引發其他開發人員質疑華
為釋出了一個有後門的修補程式。
識的編寫,而「可輕易開採」(trivially exploitable)。這引發其他開發人員質疑華
為釋出了一個有後門的修補程式。
周一華為出面否認。華為指出,經過調查顯示,這批修補程式並非華為提供的官方版本,
而是由一位開發人員上傳Openwall的示範程式碼,也未用於所有華為裝置中。
華為重申對產品程式碼有嚴格品質要求,對官方版本釋出開源社群也有嚴厲的管理和流程
要求。
原作者也在引發爭議後感謝GRSecurity點出「大量臭蟲」,並移除有問題的程式碼。此外
他也移除和華為有關的字串,強調因為是個人作品、不是華為官方專案之故。
華為聯絡GRSecurity,希望後者能修正描述。不過GRsecurity說,依據公開資訊,原作者
乃華為員工,且雖然他撇清程式碼和華為的關係,但他們從私下管道得知,該員工還是華
為公司等級最高的首席安全部門成員。這家廠商並認為原作者在Github repo偷偷摸摸的
修改啟人疑竇,因此決定僅以更新方式說明,並未刪除其說法。
乃華為員工,且雖然他撇清程式碼和華為的關係,但他們從私下管道得知,該員工還是華
為公司等級最高的首席安全部門成員。這家廠商並認為原作者在Github repo偷偷摸摸的
修改啟人疑竇,因此決定僅以更新方式說明,並未刪除其說法。
5.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/137611
![[圖]](https://s4.itho.me/sites/default/files/field/image/0514-backdoor.png)
6.備註:
最高的首席安全部門成員發生低級錯誤
他們在武漢有LAB嗎
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.77.190 (臺灣)
※ 文章代碼(AID): #1UlaVXiA (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1589528545.A.B0A.html
→ : 垃圾菌不意外1F 05/15 15:42
推 : 嘻嘻2F 05/15 15:43
推 : 無所不偷支那人3F 05/15 15:46
推 : 支那賤畜男盜女娼4F 05/15 15:55
推 : 公司名稱隨便給員工拿來用喔 還滿慷慨的5F 05/15 15:57
推 : 五毛水準 支那日常 武漢肺炎=中國特色之冠狀病毒6F 05/15 16:29
→ : 不意外 再次證明中國就是垃圾7F 05/15 18:04
--
※ 看板: FW 文章推薦值: 0 目前人氣: 0 累積人氣: 38
回列表(←)
分享