Huawei niega su participación en la propuesta de parche del kernel Linux con errores


Huawei

Huawei negó el lunes tener alguna participación oficial en un parche inseguro presentado al proyecto del kernel de Linux durante el fin de semana parche que introdujo una vulnerabilidad «trivialmente explotable».

El parche con errores fue presentado al proyecto oficial del kernel de Linux a través de su lista de correo el domingo. Llamado HKSP (Huawei Kernel Self Security), el parche supuestamente introdujo una serie de opciones de seguridad para el kernel de Linux.

Las grandes empresas tecnológicas que utilizan Linux en gran medida en sus centros de datos y servicios en línea, a menudo envían parches al kernel de Linux. Se sabe que compañías como Google, Microsoft, Amazon y otras han contribuido con código.

Vulnerabilidad trivialmente explotable encontrada en HKSP

El domingo, la presentación de HKSP despertó interés en la comunidad de Linux, ya que podría indicar el deseo de Huawei de contribuir posiblemente al núcleo oficial. Debido a esto, el parche quedó bajo escrutinio inmediato, incluso de los desarrolladores de Grsecurity, un proyecto que proporciona su propio conjunto de parches de seguridad para el kernel de Linux.

En una publicación de blog site publicada el mismo día, el equipo de Grsecurity dijo que descubrió que el parche HKSP estaba introduciendo un «trivialmente explotable«vulnerabilidad en el código del kernel, si el parche se aprobara.

Los rumores y las teorías de conspiración comenzaron casi en línea de inmediato, acusando a Huawei de intentar introducir vulnerabilidades en el kernel de Linux.

En el complicado panorama político real, tales acusaciones no son nuevas ni sorprendentes. La compañía china ha sido acusada en numerosas ocasiones en los últimos años de incluyendo puertas traseras en sus dispositivos de purple, acusaciones que la empresa siempre ha negado o trató de explicar en video clips de Twitter.

Huawei dice que el empleado actuó por su cuenta

Sin embargo, en un comunicado publicado el lunes, Huawei dijo que la compañía no tiene participación oficial en el proyecto HKSP, a pesar de que el proyecto utiliza el nombre de Huawei en su título y el proyecto fue desarrollado por uno de sus principales ingenieros de seguridad.

La compañía dijo que el proyecto fue creado y presentado al proyecto del kernel de Linux por el ingeniero, sin su respaldo official, y el código HKSP nunca se usó en ninguno de los productos oficiales de Huawei.

«Es solo el código de demostración utilizado por un individuo para la discusión técnica con la comunidad de código abierto Openwall», dijo Huawei.

También se agregó una actualización al proyecto HKSP el lunes, con el empleado de Huawei agregando un descargo de responsabilidad similar.

El hecho de que un empleado de Huawei haya escrito un código que contenga fallas de seguridad no es nada nuevo. Un informe del gobierno del Reino Unido el año pasado descubrió que el equipo de crimson de Huawei estaba plagado de fallas de seguridad que a menudo pasaban años sin recibir parches.

La reacción de la comunidad tecnológica en este caso specific también muestra el sentimiento world-wide anti-Huawei, que ha sido estimulado en los últimos años por innumerables problemas de seguridad en los productos de la compañía, acusaciones de robo de propiedad intelectual, acusaciones de ocultar puertas traseras secretas en su firmware. y el temor de Occidente de que el gobierno chino espíe las comunicaciones mundiales a través del popular equipo Huawei.





Enlace a la noticia unique