按 Enter 到主內容區
:::

TWCERT-電子報

:::

華為資安團隊提交給 Linux 基金會的HKSP核心資安加強程式碼,被發現暗藏後門

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-27
  • 點閱次數:2044
華為資安團隊提交給 Linux 基金會的HKSP核心資安加強程式碼,被發現暗藏後門 TWCERT/CC

資安研究團隊發現,由華為提供給 Linux 基金會,用以加強 Linux 核心資安防護能力的HKSP程式碼,藏有後門,可能導致未來新版 Linux 出現資安風險。

資安研究團隊 Grsecurity 發現,由華為提供給 Linux 基金會,用以加強 Linux 核心資安防護能力,一段名為「HKSP」(Huawei Kernel Self Protection)的程式碼,藏有後門,可能導致未來新版 Linux 都出現資安風險。

Grsecurity 在其研究報告中指出,他們在華為提報給 Linux 基金會的 HKSP 安全修補加強程式碼中發現一個資安漏洞,看不出是針對哪個類型資安威脅提出修補建議,也不包括相關的防禦程式碼。

Grsecurity 進一步指出,檢視華為提出的程式碼後,他們還發現一個可利用來進行駭侵攻擊的資安漏洞;如果 Linux 基金會接受該修補程式,將這段程式碼放入未來版本的 Linux 核心,將造成相當嚴重的資安風險。

Grsecurity 的研究報告,詳細分析了華為程式碼中的弱點,以及可能造成的資安風險。

在 Grsecurity 發表此報告後,華為立刻回應,表示該段程式碼僅為示範之用、提報至 Linux 基金會的舉動,也只是某個華為資安工程師的「個人行為」,不代表華為公司;華為公司也未將這段程式碼使用於任何華為產品。

但 Grsecurity 也隨即於其報告中新增華為回應,並且指出交付該程式碼的工程師屬於技術職中職級最高(20 職等)的資安工程師。

回頁首