Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない
2014年4月13日 16:56
諜報機関の関与も疑われているOpenSSLの「Heartbleed」バグだが、原因を作った開発者は意図的なバグの挿入を否定し、開発時のミスだと説明している(Deutsche Telekomの記事、The Sydney Morning Heraldの記事、PC Proの記事、The Globe and Mailの記事、本家/.)。
この開発者は当時ドイツ・ミュンスター大学の大学院生で、現在はDeutsche Telekomに勤務している。大学ではOpenSSLを使用した研究を行っており、研究の一環としてバグフィックスや新機能などでOpenSSLプロジェクトに貢献していた。しかし、彼がコードを書いたTLS/DTLSのHeartbeat拡張では、特定の変数に格納されたデータが正しいかどうかをチェックしていなかったという。そのため、不正な値を入力することで、メモリー上のデータを意図した長さ以上に読み取ることが可能になっていた。このミスは不運にもコードレビューで発見されることはなく開発バージョンに追加され、その後公式にリリースされてしまったとのことだ。 スラッシュドットのコメントを読む | ITセクション | セキュリティ | プログラミング | バグ | デベロッパー
関連ストーリー:
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日
不正なSSL証明書のチェックをしないモバイルアプリにご注意を 2014年02月14日
Linuxに対し米当局がバックドアを仕掛けたとされるIvyBridgeの乱数生成命令を使うなという要望、Linusキレる 2013年09月11日
FBIとNSA、インターネット企業にSSLのマスター暗号化キーを要求 2013年07月27日