近日,围绕华为L20首席安全专家为Linux内核提交补丁却被发现漏洞,国内外有了很多的讨论。今天想和大家梳理一下整个事件,理性判断。
事情从5月10日开始,华为在内核加固邮件列表上公开了一个针对Linux内核防御的方案HKSP,这也是很多大型科技公司的常见做法。
但很快,PaX/GRsecurity团队找到了HKSP方案的一些漏洞并且在网站上公开。针对漏洞问题,此事开始在一些社交网站引发讨论,不断发酵。
争论的点在于:
1、这是否是华为的公司项目 ;
2、如果是公司项目,HKSP是否已经集成到华为产品中,带来安全威胁(HKSP补丁在内核代码中引入了一个“轻而易举就能利用的”漏洞)。
同时,也由此引发了多种基于政治背景下的阴谋论。
而在GRsecurity最先发布的博文里写道:HKSP作者是一位在华为工作的20级的高级安全雇员;HKSP是一个完全缺乏防御性的程序,引入了可轻易利用的漏洞。
对此,HKSP作者(未经证实的信息显示该作者是HKSP的长期开发者)在内核加固邮件列表中解释说:这个并不是公司项目而是个人的开源项目。
而在ZeroBin上我们看到了疑似作者的发声:
在Github上的作者自述文件中,作者则进一步解释了,这些是demo code,是主要为了快速验证这些漏洞缓解措施是否有效的poc代码,因此没有加入安全参数检查。
而5月11日,华为产品安全应急响应中心发布公告指出:经过调查HKSP并没有集成到任何的华为当前产品中。
5月12日,作者已经把HKSP名称修改为AKSP。
最后,此次事件放在一个任何普通的公司都是一件小事,但加上华为、grsecurity、中美贸易三个杠杆,足以瞩目。再加上此前华为也曾被指责在设备中安装后门,此次就补丁漏洞事件引发的争论难免让人联想,是否逐渐脱离事件本身。从开源代码贡献的角度来看,全世界范围内有上万程序员为Linux 内核贡献代码,而HKSP作者是其中一员,因此,大家对于此事的讨论或许更应该集中于开源代码漏洞本身以及后期修复、处理工作上,而不是盯住瑕疵一味争论。
*本文作者:kirazhou,转载请注明来自FreeBuf.COM