華為故意在Linux內(nèi)核中偷偷引入漏洞？

周一，華為否認(rèn)參與了上周末提交給Linux內(nèi)核項目的不安全補丁，并推出了一個易于利用的漏洞補丁。

該漏洞補丁已通過星期日的郵件列表提交給了正式的Linux內(nèi)核項目。該補丁名為HKSP(華為內(nèi)核自我保護)，據(jù)稱為Linux內(nèi)核引入了一系列安全強化選項。

在數(shù)據(jù)中心和在線服務(wù)中大量使用Linux的大型科技公司通常會向Linux內(nèi)核提交補丁。眾所周知，谷歌，微軟，亞馬遜等公司都貢獻了代碼。

在HKSP中發(fā)現(xiàn)的可利用漏洞

周日，HKSP提交的文件引發(fā)了對Linux社區(qū)的興趣，這可能表明華為希望為官方內(nèi)核做出貢獻。因此，該補丁受到了嚴(yán)格的審查，其中包括來自Grsecurity的開發(fā)人員，該項目為Linux內(nèi)核提供了自己的一套安全加固補丁。

在同一天發(fā)布的博客文章中，Grsecurity團隊說，它發(fā)現(xiàn)HKSP補丁程序在內(nèi)核代碼中引入了“可輕易利用的 ”漏洞(如果該補丁程序需要批準(zhǔn))。

謠言和陰謀論幾乎立即在網(wǎng)上開始，指責(zé)華為試圖在Linux內(nèi)核中偷偷引入漏洞。

在當(dāng)今復(fù)雜的政治環(huán)境中，這種指責(zé)既不是新的也不是令人驚訝的。在過去的幾年中，華為公司被指控?zé)o數(shù)次，包括在其網(wǎng)絡(luò)設(shè)備中包含后門程序，針對這些指控，華為也不止一次做出了解釋。

華為稱員工行為自負

但是，在周一發(fā)表的一份聲明中，華為表示，盡管該項目的名稱中使用了華為的名稱，并且該項目是由其一名頂級安全工程師開發(fā)的，但公司并未正式參與HKSP項目。

華為公司表示，該項目是由工程師創(chuàng)建并提交給Linux內(nèi)核項目的，沒有正式的支持，并且HKSP代碼從未在任何正式的華為產(chǎn)品中實際使用過。

華為說：“這只是個人用于與開源社區(qū)Openwall進行技術(shù)討論的演示代碼?！?

星期一，對HKSP項目也進行了更新，華為員工添加了類似的免責(zé)聲明。

此舉使得一些持反對意見的聲音更強烈，稱華為網(wǎng)絡(luò)設(shè)備充斥著很多安全漏洞，這些安全漏洞通常要花費數(shù)年才能收到補丁。

近年來，隨著華為的迅猛發(fā)展，尤其最近一年，特朗普政府將華為加入實體清單，指控華為設(shè)備存在安全威脅，華為受到了前所未有的關(guān)注和前所未有的嚴(yán)格檢查，一丁點的瑕疵都會被無限放大，甚至及雞蛋里挑骨頭，華為未來的路艱難且具挑戰(zhàn)。