主页 / 社会 > 维权 > 正文

思科被曝使用华为秘钥证书 曾指控华为抄袭代码

2019-07-07 00:23:29   来源:科技生活在线   评论:0   [收藏]   [评论]
导读:小编按:近日,一网络安全咨询公司发现,思科在产品交换机中采用了华为的开源包,对此思科表示:该公司开发者在测试期间使用了华为的开源包,但后来忘记删除相关组件。

  近日,一网络安全咨询公司发现,思科在产品交换机中采用了华为的开源包,对此思科表示:该公司开发者在测试期间使用了华为的开源包,但后来忘记删除相关组件。

  美国网络设备制造商思科(Cisco)曾指控华为“抄袭代码”,如今自己闹出“尴尬”事件:

  该公司被网络安全咨询公司发现,产品交换机里用的秘钥证书,是华为子公司研发的。思科对此解释称:在测试产品时使用了华为的代码,最后忘了删除。

  不过需要注意的是,该秘钥证书为一款开源程序包中的一部分。根据相关协议,开源代码的引用须注明出处。

  据美国科技媒体ZDNet新闻网消息, 7月3日,思科在其官网一下子列举19条程序安全相关声明,建议其客户对产品进行相关更新。

  其中有一条声明指出,思科250、350、350X和550X型号交换机,采用了开源程序包OpenDaylight中的一款密钥证书。而这款秘钥证书出自Futurewei公司之手。后者是华为在美国的研发分支机构。

  这个问题也不是思科自己排查出来的。而是网络安全咨询公司SEC Consult最早发现。该公司一位负责人还向ZDNet新闻网表示,“我们注意到思科固件内用的是华为的证书,考虑到政治因素,我们不想就这一事件做进一步推测。”

  之所以会出现这个乌龙,思科方面的解释是:该公司开发者在测试期间使用了华为的开源包,但后来忘记删除相关组件。思科将这个锅甩给软件测试团队FindlT Development,称这是他们的“疏忽”。

  思科表示,目前已经删除了上述产品中的华为秘钥证书。由于这个改动对产品安全问题影响不大,这条声明的“警报等级”也是当天所有补丁声明中最低的,为“消息级(informational)”。

  值得一提,思科曾指控华为“抄袭代码”,于2003年将华为子公司告上法庭。而当时思科的指控对象,就包括华为在美研发分支Futurewei。如今思科自己使用华为代码,遭ZDNet新闻网吐槽“尴尬”。(观察者网)
 

  链接+

  将华为加密证书放入自家交换机?思科:测试完忘删了

  IT之家据外媒消息,思科已经披露了其网络设备中的一系列漏洞,其中包括一个令人尴尬的错误,思科将华为的加密证书放入了自己的交换机里。

  据悉,思科在自己的产品中发现了18个高严重性和中等严重性的漏洞,以及一个标记为“信息性”的奇怪错误,这些漏洞会影响其Small Business 250,350,350X和550X系列交换机。

  这些交换机中的错误不是很严重,其错误表现类型为无法获得自己的CVE标识符。但这个错误给思科上了一课——即在产品中使用第三方开源组件而不对其进行适当的安全检查会带来风险。

  安全公司SEC Consult物联网部门SEC Technologies的研究人员正使用其oT Inspector漏洞搜索软件来检测思科Small Business 250系列交换机的固件映像时,居然发现这些交换机包含有发给Futurewei Technologies的数字证书和密钥。

  Futurewei Technologies是华为的美国研发部门。据报道,由于美国禁止华为使用美国技术,该研究部门正计划脱离华为母公司独立运营,并禁止华为员工离职,不仅放弃华为标识,还要为员工创建自己独立的IT系统。

  那么问题来了,为什么思科会将其中国竞争对手的证书和密钥放入自己的交换机中?答案是思科开发人员在测试期间使用华为制造的开源软件包,忘记删除某些组件。

  “我们注意到固件中使用了华为证书。考虑到政治上的争议,我们不想进一步推测,”SEC Technologies首席执行官Florian Lukavsky向媒体说道。

  这些证书是OpenDaylight的开源组件的测试包的一部分,它包含一些测试脚本和数据,其中包括华为颁发的证书。

  “这就是证书在固件被发现的原因。它们被思科开发人员用于测试,他们只是忘记在证书发送到设备之前将(用于测试的华为证书)删除,”Lukavsky解释道。随后他又补充说,(这些华为)证书没有被主动使用,只存在于文件系统中。

  “我们的研究和思科的研究没有发现任何迹象表明该问题会对客户造成任何威胁。但思科还删除了一些不必要的软件包,并更新了我们发现漏洞的组件,”他说。

  而对于这件事,思科的解释是这样的:

  在Cisco Small Business 250系列交换机固件中发现了一个X.509证书,该证书具有对应的公钥/私钥对和对应的根CA证书。SEC Consult称其为“密钥之家”。这两份证书均颁发给华为子公司Futurewei Technologies。

  所涉及的证书和密钥是Cisco FindIT网络探针的一部分,该探针与Cisco Small Business 250、350、350X和550X系列交换机固件捆绑在一起。这些文件是OpenDaylight开源包的一部分。它们的目的是使用OpenDaylight例程测试软件的功能。

  思科FindIT团队在开发思科FindIT网络探针期间,将这些证书和密钥用于早期的测试,事实上这些证书没有在任何正式发布的思科产品中得到使用。

分享到:
责任编辑:admin

网友评论

全站最新