顯示廣告
隱藏 ✕
回列表(←)
Disp BBS guest 註冊 登入(i) 線上人數: 462
首頁(home) 上頁(↑) 下頁(↓) 末頁(end)
※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-05-18 15:24:42
看板 Gossiping
作者 pillliq (o皿o)
標題 [新聞] 爆Linux修補專案有後門,華為否認與之有
時間 Fri May 15 15:42:23 2020

1.媒體來源:
ithome


2.記者署名:
文/林妍溱 | 2020-05-14發表


3.完整新聞標題:
爆Linux修補專案有後門,華為否認與之有關


4.完整新聞內文:
近日的一批疑似來自華為的Linux修補專案引爆後門程式疑慮,華為對此出面駁斥和該專
案的關聯性。

近日一個名為HKSP(Huawei Kernel Self Protection)專案上傳到開發社群Openwall網
站上,宣稱專案旨在強化Linux核心的安全性。原作者說明,這專案是他工作之餘的研究
結果,和華為公司無關。他並表示,由於個人精力有限,無法面面俱到,因此警告本專案
欠缺品質控管,像是檢查或測試,也說只是一個示範程式。


不過由於名稱中有華為字樣,外界仍相信這個專案來自華為。事實上,Google、微軟或
Amazon、IBM等公司因為大量使用Linux具有足夠開發資源,回饋Linux核心強化的專案也
所在多有,華為上傳程式碼也無可厚非。然而華為在網路設備上的爭議猶存,使這個專案
格外受關注。


一家安全廠商GRsecurity發現HKSP中有漏洞,該公司認為該漏洞出於完全欠缺安全防護意
識的編寫,而「可輕易開採」(trivially exploitable)。這引發其他開發人員質疑華
為釋出了一個有後門的修補程式。


周一華為出面否認。華為指出,經過調查顯示,這批修補程式並非華為提供的官方版本,
而是由一位開發人員上傳Openwall的示範程式碼,也未用於所有華為裝置中。

華為重申對產品程式碼有嚴格品質要求,對官方版本釋出開源社群也有嚴厲的管理和流程
要求。

原作者也在引發爭議後感謝GRSecurity點出「大量臭蟲」,並移除有問題的程式碼。此外
他也移除和華為有關的字串,強調因為是個人作品、不是華為官方專案之故。

華為聯絡GRSecurity,希望後者能修正描述。不過GRsecurity說,依據公開資訊,原作者
乃華為員工,且雖然他撇清程式碼和華為的關係,但他們從私下管道得知,該員工還是華
為公司等級最高的首席安全部門成員。這家廠商並認為原作者在Github repo偷偷摸摸的
修改啟人疑竇,因此決定僅以更新方式說明,並未刪除其說法。



5.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/137611
爆Linux修補專案有後門,華為否認與之有關 | iThome
[圖]
一個上傳到開發社群的Linux修補專案被發現有可輕易開採的漏洞,專案作者是華為安全部門員工 ...

 


6.備註:
最高的首席安全部門成員發生低級錯誤

他們在武漢有LAB嗎


--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.77.190 (臺灣)
※ 文章代碼(AID): #1UlaVXiA (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1589528545.A.B0A.html
ryanmulee: 垃圾菌不意外1F 05/15 15:42
goto: 嘻嘻2F 05/15 15:43
GreenBow: 無所不偷支那人3F 05/15 15:46
shotakun: 支那賤畜男盜女娼4F 05/15 15:55
nakayamayyt: 公司名稱隨便給員工拿來用喔 還滿慷慨的5F 05/15 15:57
gwenwoo:   五毛水準  支那日常  武漢肺炎=中國特色之冠狀病毒6F 05/15 16:29
k5a: 不意外 再次證明中國就是垃圾7F 05/15 18:04

--
※ 看板: FW 文章推薦值: 0 目前人氣: 0 累積人氣: 41 
作者 pillliq 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇