Seriously? Cisco put Huawei X.509 certificates and keys into its own
switches
How did cryptographic certificates and keys issued to Huawei end up in Cisco
gear? https://www.zdnet.com/article/seriously-cisco-put-huawei-x-509-certificates-
and-keys-into-its-own-switches/
大意如下:
据美国科技媒体ZDNet新闻网消息, 7月3日,思科在其官网一下子列举19条程序安全相
关声明,建议其客户对产品进行相关更新。
其中有一条声明指出,思科250、350、350X和550X型号交换机,采用了开源程序包
OpenDaylight中的一款密钥证书。而这款密钥证书出自Futurewei公司之手。后者是华
为在美国的研发分支机构。
这个问题也不是思科自己排查出来的。而是网络安全咨询公司SEC Consult最早发现。
该公司一位负责人还向ZDNet新闻网表示,“我们注意到思科固件内用的是华为的证书
,考虑到政治因素,我们没有不想就这一事件做进一步推测。”
之所以会出现这个乌龙,思科方面的解释是:该公司开发者在测试期间使用了华为的开
源包,但后来忘记删除相关组件。思科将这个锅甩给软件测试团队FindlT Development
,称这是他们的“疏忽”。
思科表示,目前已经删除了上述产品中的华为密钥证书。由于这个改动对产品安全问题
影响不大,这条声明的“警报等级”也是当天所有补丁声明中最低的,为“消息级(
informational)”。
值得一提,思科曾指控华为“抄袭代码”,于2003年将华为子公司告上法庭。而当时思
科的指控对象,就包括华为在美研发分支Futurewei。如今思科自己使用华为代码,遭
ZDNet新闻网吐槽“尴尬”。
在路由和交换机的市场上, 华为是Cisco的死对头, 连Cisco都偷偷用自己死对头的产
品; 但是自己每年还大把钞票游说国会, 攻击华为偷窃Cisco的IP, 不能让华为进入
美国市场。这真是现实中的贼喊捉贼啊!!
