安全大佬写代码也有翻车的时候。
近日,据外媒 ZDNet 报道,一位华为 L20 首席安全专家在 GitHub上发布了一个 Linux 内核强化补丁 HKSP ,不过,有意思的是,这个补丁很快被开发团队 grsecurity 发现了一个“轻而易举就能利用的”漏洞,立刻引起了热议。
随后,原作者也表示委屈,并站出来澄清原委:
这是我写的 demo code,是为了快速验证这些漏洞缓解措施是否有效的 poc 代码,没有加入安全参数检查,被 grsecurity 的人借机炒作了起来,因为他们不想有人插入漏洞缓解领域的研究。
华为也表示:这是员工个人行为,不代表公司。
事情缘由是这样的:
5 月 10 日,这位华为员工通过邮件列表提交给了官方的 Linux 内核项目。据称该补丁命名为 HKSP(华为内核自我保护),还为 Linux 内核引入了一系列加强安全的选项,并表示进行此更改是为了限制恶意代码创建分布式拒绝服务攻击的能力,并限制发送欺骗数据包(具有伪造源 IP 地址的 TCP/IP 数据包)的能力。
众所周知,大型科技公司通常会向 Linux 内核提交补丁。例如谷歌、微软、亚马逊和其他公司都贡献了代码,所以,HKSP 提交的文件快速引发了 Linux 社区的兴趣,因为这可能表明华为希望尽可能为官方内核做出贡献,于是该补丁也受到了严格的审查。
Linux 是一种开源电脑操作系统内核。它是一个用 C 语言写成,符合 POSIX 标准的类 Unix 操作系统。
最早是由芬兰 Linus Torvalds 为尝试在英特尔 x86 架构上提供自由的类 Unix 操作系统而开发的。该计划开始于 1991 年,在计划的早期有一些 Minix 黑客提供了协助,而今天全球无数程序员正在为该计划无偿提供帮助。
紧接着,开发团队 Grsecurity 却表示,他们发现 HKSP 补丁引入了一个微不足道的可利用的“内核代码中的漏洞。
开发团队 Grsecurity 在帖子中指出,该补丁本身存在漏洞和弱点,并且缺少通常的威胁模型。虽然,补丁的发布者在 GitHub 上的作者标记为来自华为,但 Grsecurity 开发团队在帖子中表示,目前尚不清楚发布的补丁集是否是华为的正式版本,或者该代码是否已经在任何华为设备上发布。
此言论一出,立刻引起了广泛讨论,不少人指责华为试图在 Linux 内核中偷偷引入漏洞。
随后,华为也出面做了表态:华为没有正式参与 HKSP 项目,尽管该项目在其名称中使用了华为的名字,而且该项目是由该公司的一名高级安全工程师开发的。
并表示,该项目是由工程师创建并提交给 Linux 内核项目的,没有得到正式支持,而且 HKSP 代码从未在华为的任何官方产品中实际使用过。
“这只是个人与开源社区 Openwall 进行技术讨论时使用的演示代码。”
5 月 11 日,该补丁的作者也做了更新说明:本项目是我在业余时间做的研究,HKSP 的名字是我自己给的,与华为公司无关,没有华为产品使用这些代码。这个补丁代码是我提出来的,因为一个人没有足够的精力去覆盖每一件事情,所以缺乏像审查和测试这样的质量保证。并且这个补丁只是一个演示代码。
对此,你怎么看呢?
雷锋网雷锋网雷锋网
参考资料:
【1】https://www.zdnet.com/article/huawei-denies-involvement-in-buggy-linux-kernel-patch-proposal/
【2】https://github.com/cloudsec/hksp/blob/master/hksp.patch
【3】https://grsecurity.net/huawei_hksp_introduces_trivially_exploitable_vulnerability