華為開發團隊的高階資安工程師日前首次針對 Linux 作業系統核心提交修改,送了一份叫做「華為核心自我保護」的資安程式碼給 Linux 基金會審查,結果這份資安程式碼在上週日另一個開源資安團隊 Grsecurity 審查時被發現有隱藏的後門程式漏洞,如果 Linux 基金會一時不察而接受華為開發團隊這次程式碼提交的話,將會造成之後所有新版 Linux 系統的核心都會有此後門程式漏洞而有資安危險。
華為在所提交的程式碼於週日被發現有隱藏的後門程式漏洞後,於本週一立即否認此份程式碼與華為官方有關,還切割此為華為員工的個人行為,並澄清所提交的程式碼只是示範用的程式碼,並沒有使用在華為任何正式官方產品中;但審核程式碼的 Grsecurity 團隊並不採信華為的說詞,因為提交程式碼的華為員工是華為最高等級的 L20 Principal Security 資安主任工程師,如果沒有公司的授意應該不可能任意提交程式碼給 Linux 基金會審查....
沒有留言:
張貼留言