Szerző: Hlács Ferenc

2020. május 21. 11:31

Foghíjas Linux kernel patch miatt került tűz alá a Huawei

A "triviálisan kihasználható" biztonsági réseket tartalmazó patch-et a cég szerint alkalmazottja magánszemélyként tette közzé.

Újabb biztonsági botrányba szaladt bele a Huawei, ezúttal a cég egyik fejlesztője által a Linux kernelhez készített patch foghíjas védelme kapcsán. A HKSP (Huawei Kernel Self Protection) névre keresztelt patch épp a kernel biztonságát volt hivatott javítani, ugyanakkor biztonsági szakértők szerint triviálisan kihasználható hibákat tartalmazott. A kínai óriás gyorsan tűz alá került az ügy miatt, amin nem segített a cég az Egyesült Államok által az utóbbi évben erősen megtépázott renoméja sem.

A Huawei gyorsan közleményt adott ki a patch kapcsán, amelyben visszautasította az ellene felhozott vádakat, és azt is kiemelte, hogy a vállalat nem vett részt a projektben, illetve a HKSP kódját saját termékeiben sem használta fel. A cég szerint alkalmazottja magánszemélyként töltött fel javaslatokat a kernelhez, amelyhez véleményeket kért a szakmabeli szakértőktől.

Egyelőre tehát erősen kérdéses, hogy a cég a vádaknak megfelelően valóban backdoort próbált volna csempészni a kernelbe, főként miután a patch-nek a véleményezésen túl számos revíziós körön is át kellett volna esnie a jóváhagyás előtt. A vállalatra ugyanakkor nem vet jó fényt, hogy a vonatkozó GitHub repositoryban a kódot a Huawei-től elválasztó nyilatkozatot utólag visszadátumozták, a botrány kirobbanása előttre - illetve az sem, hogy a patch-et egy a cégen belül elérhető legmagasabb biztonsági besorolással rendelkező fejlesztő tette közzé, akitől a közösség nem számítana biztonsági szempontból gyenge minőségű kódra.

a címlapról