Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ
Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ2014.04.24 18:005,056 satomi サイトがじわじわ来ますね…。 OpenSSLのヘマでHeartbleedなんてバグができてしまい、コードを虱潰しに当たっていたテオ・デ・ラート氏率いるOpenBSDプロジェクトが「こりゃ修復不能だ」と判断、フォーク版「LibreSSL」の開発に乗り出しました。 Ars Technicaからのメール取材に対し、ラート氏はOpenSSLのダメっぷりをこのように書いています。 うちのグループでは1週間かけてOpenSSLのソースツリーのうち半分を削除した。どれも食い残しをそのまま散らかしてるみたいな不要なところさ。 オープンソースのモデルでは、コードがわかる人間が頼みだ。透明性が頼み。ところがこれがまったくクリアなコードベースじゃないわけよね。なぜ
Heartbleed での情報公開プロセスには問題があった ― OpenBSD が OpenSSL のフォーク「LibreSSL」プロジェクトをスタート [インターネットコム]
OpenSSL プロジェクトは Heartbleed 脆弱性により、批判にさらされている。OpenSSL Foundation は開発推進のための資金提供を呼び掛けているが、OpenSSL を進化させる新たなオプションが登場した。 OpenBSD コミュニティが OpenSSL コードをフォークし「LibreSSL」と呼ばれる新たな暗号化ライブラリの開発をスタートさせたのだ。 Heartbleed に関するニュースが伝えられたとき、わたしは、OpenBSD 創設者である Theo de Raadt 氏にコンタクトした。De Raadt 氏は率直な物言いで、常に興味深いコメントを提供してくれる人物だ。 私は Heartbleed 脆弱性の情報公開プロセスに興味を抱いていた。Google や CloudFlare などの限られたサービスは、Heartbleed 脆弱性について事前に通知を受けて
![Heartbleed での情報公開プロセスには問題があった ― OpenBSD が OpenSSL のフォーク「LibreSSL」プロジェクトをスタート [インターネットコム]](https://cdn-ak-scissors.b.st-hatena.com/image/square/b880f97eada47f4b8c8207c2afce5ddacfe39d55/height=288;version=1;width=512/https%3A%2F%2Fimage.internetcom.jp%2Fimgs%2F97247%2F1411%2F%252Fwebtech%252F20140423%252F4.html.jpg)
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラド オープンソース
OpenBSDがOpenSSLの大掃除に着手しています(slashdot)。 たとえばlibssl/src/sslを見ると、CVSに罵倒と修正がひっきりなしに記録されています。 Heatbleed対策のパッチだけで満足しなかった理由は、彼らから見てHeartbleedが単なるバグや仕様の問題ではなく、セキュリティ意識の問題から産まれたものだからです。 何年も前から 「OpenSSL はサルが書いてるんだろう」と揶揄していたとおり、OpenSSL コードの品質が低いことをOpenBSD開発者たちは知っていましたが、それが意識や責任感の問題だという確信はまだなかったのかもしれません。 OpenBSD にはメモリ防護機構がありますので、Heartbleed脆弱性があっても当初、malloc.confにJオプションを付ければfree済みメモリはシュレッダーにかけられ秘密は漏れないだろうと思ったそう
OpenBSD、怒りのコミット
OpenSSLのheatbeatバグの対応のため、OpenBSDはOpenSSLのheatbeatを無効にするコミットをした。ただし・・・ src/lib/libssl/ssl/Makefile - view - 1.29 SegglemannのRFC520 heatbeatを無効化。 あのまともなプロトコルひとつ制定できないIETFの無能集団が、超重要なプロトコルで64Kの穴をこしらえるとか、マジであきれてものも言えねーわ。奴らはマジこの問題を本気で検証すべきだろ。なんでこんなことをしでかしたのか。こんな事態を承認した責任ある連中を全員、意思決定プロセスから取り除く必要がある。IETF、てめーは信用なんねぇ。 このコミットは、Makefileの中で、OpenSSLでheatbeatを無効にするマクロを定義するよう、コンパイラーオプションを指定するものだ。ただし、無効にするマクロは、OPE
OpenBSDが資金難で開発停止の危機
'Re: Request for Funding our Electricity' - MARC OpenBSDが、資金枯渇で電気代が払えず、開発停止の危機が目前に迫っているようだ。 List: openbsd-misc Subject: Re: Request for Funding our Electricity From: Bob Beck <beck () openbsdfoundation ! org> Date: 2014-01-14 20:03:37 Message-ID: CAComcpM_hcqQuLnb=otudLjYjwaA5wMU14EyxLCdJWEXOJoLNQ () mail ! gmail ! com この問題に注目を集めるために取り上げる。 資金減少により、プロジェクトの経費を払うことができる資金元が必要だ。OpenBSD財団がプロジェクトの電気代を支払う
OpenBSD 5.0
Released Nov 1, 2011 Copyright 1997-2011, Theo de Raadt. ISBN 978-0-9784475-8-8 5.0 Song: "What Me Worry?" See the information on the FTP page for a list of mirror machines. Go to the pub/OpenBSD/5.0/ directory on one of the mirror sites. Have a look at The 5.0 Errata page for a list of bugs and workarounds. See a detailed log of changes between the 4.9 and 5.0 releases. All applicable copyrights
Why I Left OpenBSD
I was a long-time OpenBSD user since the OpenBSD 2.7 days, and cut my teeth on Unix development there. I was attracted by its focus on security and conscientious coding practices. I was happy through the early 2.x days, but the more I got involved in developing for OpenBSD the more I was dissuaded from doing so. Part of the issue was this focus on security. After I began to use OpenBSD at home and
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
