OpenSSL的Heartbleed漏洞最近闹得沸沸扬扬,众多互联网公司的工程师们也是连夜加班,赶在信息泄露前修补漏洞。而这一漏洞的始作俑者——德国软件工程师Robin Seggelmann——也第一次向媒体表示,这是一次后果严重的意外,自己并非有意为之。
Heartbleed事件爆发后,雷锋网在第一时间进行了报道,对于这一漏洞到底是什么,整个事件的来龙去脉又是怎样,也做了详细的分析和解读。对于自己所去的网站是否仍受此漏洞的影响,可以在Heartbleed Test输入网址进行查询。著名的安全专家 Bruce Schneier表示,如果类似事件的影响程度分为1-10级的话,这次事件的影响会达到11级。再让我们来看一看Heartbleed漏洞的代码开发者是怎么说的。
不幸的疏漏
Seggelmann表示这一漏洞是他和一位审核员在工作上“不幸”的疏漏造成的,是他们在两年前将这一漏洞引入了OpenSSL开源加密协议。 “我当时在对OpenSSL进行完善,修订了许多漏洞,也增加了不少新功能”,Seggelmann表示,“不幸的是,在其中一项功能中,我忘了对一个包 含长度的变量进行验证。”
在他提交代码后,审核员也没有注意到这一遗漏,这一漏洞也就随正式版本一起被发布。有消息人士称,当时的审核员是Stephen Henson博士。Seggelmann表示,这是一个十分不起眼的错误,但其影响十分严重。
阴谋论
Heartbleed事件发生后,除了急忙修补漏洞外,不少阴谋论者纷纷猜测,这次事件是有人有意为之。Seggelmann表示,这种猜测也是理所当然的,特别是在斯诺登(Edward Snowden)事件发生后。
“不过这次事件只是编程上的纰漏,碰巧发生在安全领域而已”,他表示,“我并不是有意留下漏洞,而且之前修复了不少OpenSSL的漏洞,对这一开源项目我只想尽自己的一份力。”
尽管否认了自己有不良企图,Seggelmann也表示,在过年两年中,情报机构完全有可能一直在利用这一漏洞。“这完全有可能,在安全领域往坏处想也没什么不好。不过在漏洞发布前,我自己也一无所知,而且我也不属于任何情报机构,只能做出一些推测。”
Seggelmann表示,如果这一事件有什么积极影响的话,那就是开源软件需要更多的人加入进来,贡献自己的力量。“有几百万人在使用OpenSSL,但没多少人在维护它。开源软件的好处是每个人都可以随时检查代码,对于OpenSSL这样的项目,参与的人越多越好。”
在Heartbleed事件发生后,又有不少人以此为契机认为开源软件没有闭源软件安全。不过这不能一概而论。正如Seggelmann所说,开源软件的优势是开发过程完全透明,可以随时发现漏洞。
via itpro/雷锋网
文章转载自开源中国社区 [http://www.oschina.net]
