「Heartbleed」セキュリティ問題を受け、OpenBSDがOpenSSLフォークの「LibreSSL」を開発 | OSDN Magazine
The OpenBSD Projectのメンバーが新プロジェクト「LibreSSL」を立ち上げた。OpenSSLで発見された「Heartbleed」脆弱性問題を受けてのもので、OpenSSLをフォークして新たなSSL/TLSプロトコルのフリー実装を作成するという。次期「OpenBSD 5.6」に導入する予定で開発を進めるという。 4月初め、OpenSSLのHeartbeat機能に脆弱性が発見された。これは通称「Heartbleed」と呼ばれ、悪用するとOpenSSLプロセスが使用しているメモリの内容を不正に外部から閲覧することが可能になる。OpenSSLは4月7日バグを修正したOpenSSL 1.0.1gをリリースしている。 LibreSSLではOpenSSLのコードの書き直しや非推奨機能の削除、リファクタリングや修正などを行うという。プロジェクトは主としてOpenBSD Projectに
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラド オープンソース
OpenBSDがOpenSSLの大掃除に着手しています(slashdot)。 たとえばlibssl/src/sslを見ると、CVSに罵倒と修正がひっきりなしに記録されています。 Heatbleed対策のパッチだけで満足しなかった理由は、彼らから見てHeartbleedが単なるバグや仕様の問題ではなく、セキュリティ意識の問題から産まれたものだからです。 何年も前から 「OpenSSL はサルが書いてるんだろう」と揶揄していたとおり、OpenSSL コードの品質が低いことをOpenBSD開発者たちは知っていましたが、それが意識や責任感の問題だという確信はまだなかったのかもしれません。 OpenBSD にはメモリ防護機構がありますので、Heartbleed脆弱性があっても当初、malloc.confにJオプションを付ければfree済みメモリはシュレッダーにかけられ秘密は漏れないだろうと思ったそう
OpenBSD、怒りのコミット
OpenSSLのheatbeatバグの対応のため、OpenBSDはOpenSSLのheatbeatを無効にするコミットをした。ただし・・・ src/lib/libssl/ssl/Makefile - view - 1.29 SegglemannのRFC520 heatbeatを無効化。 あのまともなプロトコルひとつ制定できないIETFの無能集団が、超重要なプロトコルで64Kの穴をこしらえるとか、マジであきれてものも言えねーわ。奴らはマジこの問題を本気で検証すべきだろ。なんでこんなことをしでかしたのか。こんな事態を承認した責任ある連中を全員、意思決定プロセスから取り除く必要がある。IETF、てめーは信用なんねぇ。 このコミットは、Makefileの中で、OpenSSLでheatbeatを無効にするマクロを定義するよう、コンパイラーオプションを指定するものだ。ただし、無効にするマクロは、OPE
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
