Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない

2014年4月13日 16:56

諜報機関の関与も疑われているOpenSSLの「Heartbleed」バグだが、原因を作った開発者は意図的なバグの挿入を否定し、開発時のミスだと説明している(Deutsche Telekomの記事The Sydney Morning Heraldの記事PC Proの記事The Globe and Mailの記事本家/.)。

この開発者は当時ドイツ・ミュンスター大学の大学院生で、現在はDeutsche Telekomに勤務している。大学ではOpenSSLを使用した研究を行っており、研究の一環としてバグフィックスや新機能などでOpenSSLプロジェクトに貢献していた。しかし、彼がコードを書いたTLS/DTLSのHeartbeat拡張では、特定の変数に格納されたデータが正しいかどうかをチェックしていなかったという。そのため、不正な値を入力することで、メモリー上のデータを意図した長さ以上に読み取ることが可能になっていた。このミスは不運にもコードレビューで発見されることはなく開発バージョンに追加され、その後公式にリリースされてしまったとのことだ。 スラッシュドットのコメントを読む | ITセクション | セキュリティ | プログラミング | バグ | デベロッパー

 関連ストーリー:
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日
不正なSSL証明書のチェックをしないモバイルアプリにご注意を 2014年02月14日
Linuxに対し米当局がバックドアを仕掛けたとされるIvyBridgeの乱数生成命令を使うなという要望、Linusキレる 2013年09月11日
FBIとNSA、インターネット企業にSSLのマスター暗号化キーを要求 2013年07月27日

 

関連記事

最新記事