OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる

tamo 曰く、　 OpenBSDがOpenSSLの大掃除に着手しています（slashdot）。

　たとえばlibssl/src/sslを見ると、CVSに罵倒と修正がひっきりなしに記録されています。

　Heatbleed対策のパッチだけで満足しなかった理由は、彼らから見てHeartbleedが単なるバグや仕様の問題ではなく、セキュリティ意識の問題から産まれたものだからです。

　何年も前から 「OpenSSL はサルが書いてるんだろう」と揶揄していたとおり、OpenSSL コードの品質が低いことをOpenBSD開発者たちは知っていましたが、それが意識や責任感の問題だという確信はまだなかったのかもしれません。

　OpenBSD にはメモリ防護機構がありますので、Heartbleed脆弱性があっても当初、malloc.confにJオプションを付ければfree済みメモリはシュレッダーにかけられ秘密は漏れないだろうと思ったそうです。しかし実際には効きませんでした。OpenSSLは独自のfreelistを管理することで、脆弱性緩和策を回避し、確実に脆弱になるように書かれていたのです（拙訳）。しかも、オプションで普通のmalloc/freeを使うようにすると動作しません。それはfreelistに捨てたメモリを拾い直しても内容が同じであるという前提のコードだったからです。

　つまりOpenSSLは、速度のためにセキュリティを犠牲にするオプションを追加し、それをデフォルトにし、それを無効にした場合のテストをしていなかったということになります。こうした事情を考えた結果、OpenBSDでは上流とマージしやすい状態を保っていたOpenSSLを今後独自にメンテナンスすることに決めたということのようです。

　ちなみにOpenBSDは、「俺たちがいないと困るだろう。だったら続けられるように金をくれ」と言っています。今のままのOpenSSLで満足なら無視すればいいのですが、OpenBSDがこれまでどおりOpenSSHなどを開発しつつ、それに加えてOpenSSLにも注力することを望む場合には、OpenBSDのCD 購入や寄付といった援助を増やすことができます。彼らは「脆弱性をスポンサーに売って暮らしているような開発チームはバグを減らしたくないはずだ」と言って FreeBSDに敵意を向けています。そういった形態をとらずに開発を続けているOpenBSDが資金に苦労する日々はまだ続きそうですから、今回の件は、資金集めのための話題づくりという意図もあるのかもしれません。

　OpenBSDが立ち上げたサイトopnopenssl.orgでは、「インターネットのセキュリティをアマチュアの手に置いておく訳にはいかないからプロジェクトを立ち上げた」と説明されている。

　スラッシュドットのコメントを読む | オープンソースセクション | オープンソース | セキュリティ | バグ | BSD | お金

　関連ストーリー：
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日
OpenBSD、sendmailやApache HTTP Server、bindの代替をデフォルトで提供へ 2014年03月19日
資金不足のOpenBSDプロジェクト、ルーマニアのBitcoin長者がスポンサーに 2014年01月21日
OpenSSLのコードの汚さに「サルが書いたコードだ」との批判 2009年11月05日
OpenBSD、malloc(3) を改良。多数パッケージに影響か 2005年08月25日