Huawei、バグを含んだLinuxカーネルパッチへの関与を否定
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
2020年5月日、Linuxカーネルプロジェクトに対し、メーリングリストを介してある「バグのあるパッチ」が提出された。このパッチは、HKSP(Huawei Kernel Self Protection)と名付けられ、Linuxカーネルに一連のセキュリティ強化オプションを導入するものとされていた。
GoogleやMicrosoftと言ったLinuxを多用している大手テクノロジー企業が、Linuxカーネルにパッチを提出することはよくあることだ。今回、このHuaweiの名前が含まれたパッチ「HKSP」の提出は、Linuxコミュニティへの関心を呼び起こした。このパッチは、Linuxカーネル用のセキュリティ強化パッチを提供しているGrsecurityの開発者などにより緊急の精査を受けた。
その結果、GrsecurityチームはHKSPパッチがカーネルコードに悪用可能な脆弱性をもたらすことが発見されたという。これによりオンライン上では、HuaweiがLinuxカーネルに脆弱性をこっそり仕込もうとしたのではないかとする陰謀論であふれた。中国企業は過去に、ネットワーキングデバイスにバックドアを組み込んだことから、何度も非難されてきた経緯があるためだ。
Huaweiは月曜日に声明を発表した。内容は「Huaweiは企業としてHKSPプロジェクトには関与していない」というものだ。パッチのタイトルにHuaweiの名前を使用し、かつ同社トップのセキュリティエンジニアの1人によって開発されたにもかかわらずだ。Huawei曰く、このプロジェクトはエンジニア個人によって作成され、Linuxカーネルプロジェクトに提出されたもので、同社による正式なものではない。作成されたHKSPコードは、Huaweiの製品で実際に使用されたこともありませんとしている(ZDNet、Slashdot)。
Huawei、バグを含んだLinuxカーネルパッチへの関与を否定 More ログイン