论坛徽章:: 2

电梯直达

1楼 [收藏(0)] [报告]

发表于 2014-04-14 09:55 |只看该作者 |倒序浏览

　　

OpenSSL的Heartbleed漏洞最近闹得沸沸扬扬，众多互联网公司的工程师们也是连夜加班，赶在信息泄露前修补漏洞。而这一漏洞的始作俑者——德国软件工程师Robin Seggelmann——也第一次向媒体表示，这是一次后果严重的意外，自己并非有意为之。

Heartbleed事件爆发后，雷锋网在第一时间进行了报道，对于这一漏洞到底是什么，整个事件的来龙去脉又是怎样，也做了详细的分析和解读。对于自己所去的网站是否仍受此漏洞的影响，可以在Heartbleed Test输入网址进行查询。著名的安全专家 Bruce Schneier表示，如果类似事件的影响程度分为1-10级的话，这次事件的影响会达到11级。再让我们来看一看Heartbleed漏洞的代码开发者是怎么说的。

不幸的疏漏

Seggelmann表示这一漏洞是他和一位审核员在工作上“不幸”的疏漏造成的，是他们在两年前将这一漏洞引入了OpenSSL开源加密协议。 “我当时在对OpenSSL进行完善，修订了许多漏洞，也增加了不少新功能”，Seggelmann表示，“不幸的是，在其中一项功能中，我忘了对一个包含长度的变量进行验证。”

在他提交代码后，审核员也没有注意到这一遗漏，这一漏洞也就随正式版本一起被发布。有消息人士称，当时的审核员是Stephen Henson博士。Seggelmann表示，这是一个十分不起眼的错误，但其影响十分严重。

阴谋论

Heartbleed事件发生后，除了急忙修补漏洞外，不少阴谋论者纷纷猜测，这次事件是有人有意为之。Seggelmann表示，这种猜测也是理所当然的，特别是在斯诺登（Edward Snowden）事件发生后。

“不过这次事件只是编程上的纰漏，碰巧发生在安全领域而已”，他表示，“我并不是有意留下漏洞，而且之前修复了不少OpenSSL的漏洞，对这一开源项目我只想尽自己的一份力。”

尽管否认了自己有不良企图，Seggelmann也表示，在过年两年中，情报机构完全有可能一直在利用这一漏洞。“这完全有可能，在安全领域往坏处想也没什么不好。不过在漏洞发布前，我自己也一无所知，而且我也不属于任何情报机构，只能做出一些推测。”

Seggelmann表示，如果这一事件有什么积极影响的话，那就是开源软件需要更多的人加入进来，贡献自己的力量。“有几百万人在使用OpenSSL，但没多少人在维护它。开源软件的好处是每个人都可以随时检查代码，对于OpenSSL这样的项目，参与的人越多越好。”

在Heartbleed事件发生后，又有不少人以此为契机认为开源软件没有闭源软件安全。不过这不能一概而论。正如Seggelmann所说，开源软件的优势是开发过程完全透明，可以随时发现漏洞。

转自雷锋网

本文来自ChinaUnix新闻频道，如果查看原文请点：http://news.chinaunix.net/opensource/2014/0412/3139097.shtml