Программист, допустивший ошибку в коде пакета OpenSSL, признался в невнимательности
11 апреля 2014 года
Немецкий программист Робин Зеггельман, который добавил в пакет OpenSSL критическую уязвимость Heartbleed, заявил, что сделал это непреднамеренно, передает TJournal. Зеггельман дал интервью австралийской газете The Syndey Morning Herald, подчеркнув, что ошибка, которую окрестили Heartbleed ("Кровоточащее сердце") оказалась в коде случайно.
Зеггельман сообщил, что ошибка появилась в предварительных версиях кода в декабре 2011 года, когда он работал над улучшением OpenSSL и готовил к отправке на утверждение несколько исправлений для уже существовавших багов.
Работая над написанием кода для одной функции, Зеггельман забыл прописать проверку длины запроса. Эту ошибку не заметил не только он, но и человек, проверявший работу программиста. Таким образом она и попала в окончательный релиз OpenSSL, выпущенный в 2012 году, и оставалась незамеченной вплоть до начала апреля 2014 года.
Зеггельман отметил, что не имел злого умысла, а ошибка сама по себе была простой и банальной. К большому сожалению программиста, она была допущена в критически важном месте.
Напомним, о наличии серьезной уязвимости в пакете OpenSSL, предназначенном для защиты и сертификации данных, стало известно в понедельник вечером, когда разработчики сообщили об устранении ошибки, существовавшей с марта 2012 года.
Обнаруженная уязвимость была связана с отсутствием необходимой проверки длины запроса одной из процедур расширения Heartbeat. Из-за этого любой злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, чьи коммуникации были защищены уязвимой версией OpenSSL.
Эксперты признали ошибку чрезвычайно серьезной. Выяснилось, что теоретически проблема безопасности могла коснуться 65% всех серверов в мире. Известный специалист по безопасности Брюс Шнайер оценил степень ее угрозы в 11 баллов из 10.
Поскольку большинство компаний установили исправленные версии пакета OpenSSL, угроза для пользователей в основном миновала, однако специалисты настоятельно рекомендуют сменить установленные ранее пароли.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
