華為否認提交給Linux 內核的不安全補丁HKSP 來自官方
上周有華為工程師為Linux內核提交了一個內核強化補丁HKSP(Huawei Kernel Self Protection,華為內核自我防護),不過在代碼檢查後,該補丁被發現存在安全漏洞。
The patch itself is riddled with bugs and weaknesses and generally lacks any kind of threat model。
該補丁自身存在bug 與漏洞,並且沒有任何威脅模型。
披露補丁存在問題的開發團隊grsecurity 在原帖中指出補丁GitHub 倉庫作者標記為來自華為,並且該補丁直接冠名“華為”,不過保留了意見:目前尚不清楚發布的補丁集是否是華為的正式版本,或者該代碼是否已經在任何華為設備上發布。
本來是一件極小的事,但是當前中美貿易摩擦的背景之下,此前華為也已經被指責在提供的設備中安裝後門,grsecurity的帖子不免讓人聯想。很快,根據ZDNet的消息,華為已經在周一的一份聲明中表示,儘管該項目的名稱中使用了“華為”,並且該項目是由其一名頂級安全工程師開發的,但華為並未正式參與HKSP項目。
華為同時也表示,該項目代碼從未在任何正式的華為產品中實際使用過:“這只是個人用於與開源社區Openwall 進行技術討論的演示代碼。”
項目作者也在倉庫中添加了說明:此項目是我業餘時間的研究工作,hksp是我自己提供的,與華為公司無關,沒有華為產品使用這些代碼。