1.新闻网址︰
https://www.ithome.com.tw/news/137611
2.新闻来源︰
it home
3.新闻内容︰
爆Linux修补专案有后门,华为否认与之有关
一个上传到开发社群的Linux修补专案被发现有可轻易开采的漏洞,专案作者是华为安全
部门员工
按赞加入iThome粉丝团
文/林妍溱 | 2020-05-14发表
情境示意图,Photo by Chris Barbalis on unsplash
近日的一批疑似来自华为的Linux修补专案引爆后门程式疑虑,华为对此出面驳斥和该专
案的关联性。
近日一个名为HKSP(Huawei Kernel Self Protection)专案上传到开发社群Openwall网
站上,宣称专案旨在强化Linux核心的安全性。原作者说明,这专案是他工作之余的研究
结果,和华为公司无关。他并表示,由于个人精力有限,无法面面俱到,因此警告本专案
欠缺品质控管,像是检查或测试,也说只是一个示范程式。
不过由于名称中有华为字样,外界仍相信这个专案来自华为。事实上,Google、微软或
Amazon、IBM等公司因为大量使用Linux具有足够开发资源,回馈Linux核心强化的专案也
所在多有,华为上传程式码也无可厚非。然而华为在网络设备上的争议犹存,使这个专案
格外受关注。
一家安全厂商GRsecurity发现HKSP中有漏洞,该公司认为该漏洞出于完全欠缺安全防护意
识的编写,而“可轻易开采”(trivially exploitable)。这引发其他开发人员质疑华
为释出了一个有后门的修补程式。
周一华为出面否认。华为指出,经过调查显示,这批修补程式并非华为提供的官方版本,
而是由一位开发人员上传Openwall的示范程式码,也未用于所有华为装置中。
华为重申对产品程式码有严格品质要求,对官方版本释出开源社群也有严厉的管理和流程
要求。
原作者也在引发争议后感谢GRSecurity点出“大量臭虫”,并移除有问题的程式码。此外
他也移除和华为有关的字串,强调因为是个人作品、不是华为官方专案之故。
华为联络GRSecurity,希望后者能修正描述。不过GRsecurity说,依据公开资讯,原作者
乃华为员工,且虽然他撇清程式码和华为的关系,但他们从私下管道得知,该员工还是华
为公司等级最高的首席安全部门成员。这家厂商并认为原作者在Github repo偷偷摸摸的
修改启人疑窦,因此决定仅以更新方式说明,并未删除其说法。
4.附注、心得、想法︰
写这新闻的根本大外行,漏洞跟后门根本是二回事
示范一下什么叫exploitable
a()
{
..... 一堆无关的程式码
b(); 这里去呼叫b()
...... 又一堆无关的程式码 Y
}
b()
{
string s[10];
...b()里面有什么完全无关,重点是这里的事作完了要回去Y的地方
}
s[]只有10个位置,如果塞100个位置的东西进去
b()就没有办法回到Y的地方去了
所以 s[]是个exploitable的变量