Автор критической уязвимости в OpenSSL объяснил её появление невнимательностью Статьи редакции

Немецкий программист Робин Зеггельман (Robin Seggelman) который добавил в пакет OpenSSL критическую уязвимость Heartbleed, заявил, что сделал это непреднамеренно. В разговоре с The Syndey Morning Herald программист подчеркнул, что Heartbleed оказался в коде по ошибке.

В интервью австралийской газете программист рассказал о подробностях попадания бага в код криптографического пакета. Ошибка, поставившая под угрозу безопасность двух третей интернет-сайтов, попала в код в конце декабря 2011 года. 

По словам Зеггельмана, в то время он работал над улучшением открытого кода OpenSSL, готовя к отправке на утверждение несколько исправлений для уже существовавших багов. 

В одной из написанных мною функций я, к сожалению, забыл прописать проверку длины запроса. Человек, проверявший мою работу, не заметил ошибки, и вскоре она из рабочей версии пакета попала в окончательный релиз. Робин Зеггельман, программист

Допущенную им ошибку Зеггельман назвал «довольно банальной».

Злого умысла с моей стороны не было совершенно. Это была простая ошибка в новой функции пакета. К несчастью, она была допущена в очень важном для безопасности данных месте. Робин Зеггельман, программист

О существовании в коде пакета OpenSSL критической уязвимости стало известно 7 апреля. Баг, который получил название Heartbleed, позволял проникать в зашифрованное соединение между компьютером и сервером и похищать персональные данные из оперативной памяти сервера. 

В общей сложности ошибка просуществовала в коде около двух лет. Из-за того, что соединения на основе OpenSSL используются 65 процентами сайтов в сети, потенциальными жертвами бага за это время могли стать миллионы пользователей. В настоящее время баг уже исправлен. Крупнейшие интернет-ресурсы и сервисы рекомендовали своим пользователям сменить установленные ими ранее пароли.

31-летний программист Робин Зеггельман проживает в небольшом немецком городке Эльде на северо-западе ФРГ. Он является членом некоммерческой организации Internet Engineering Task Force (IETF), а также работает в Мюнстерском университете прикладных наук. В вузе Зеггельман числится в штате так называемой лаборатории сетевого программирования. В 2012 году за авторством Зеггельмана вышла научная работа, посвященная безопасным коммуникациям в интернете. 

0
15 комментариев
Написать комментарий...
Стратегический хот-дог

Так получилось ¯\_(ツ)_/¯

Ответить
Развернуть ветку
Народный Паша

— Ты зачем уязвимость сделал?
— Прост )))

Ответить
Развернуть ветку
Животный ихтиандр

Миллион баксов на дороге не валяется.

Ответить
Развернуть ветку
Народный Паша

Гм... За миллион баксов я б тоже напарить мог =)

Ответить
Развернуть ветку
Энергетический торшер

Закономерность, а не случайность http://www.xakep.ru/post/62334/

Ответить
Развернуть ветку
Невысокий яд

Вот оно как бывает. Не выспался и подставил 2/3 интернета.

Ответить
Развернуть ветку
Должностной цветок

Так не немец же он, еврей, жидомасон , родненькие!

Ответить
Развернуть ветку
Генеральный микрофон

Но мы-то с вами знаем...

Ответить
Развернуть ветку
Последовательный холод
Ответить
Развернуть ветку
Дальний лолипоп

Может все-таки Sydney?

Ответить
Развернуть ветку
Вторичный каякер
объяснил её появление невнимательностью.

А как еще он ето вам объяснит?

"Да вот чуваки из АНБ в дом завалили группой и заставили сделать баг."

Ответить
Развернуть ветку
Поперечный каякер

"меня шантажировали моими гомосексуальными фотками"
"я должен денег АНБ"
"just for lulz"

да мало ли вариантов :)

Ответить
Развернуть ветку
Публичный космос

Опять эти некоммерческие организации)))

Ответить
Развернуть ветку
Действительный Валера

что все панику сеят? мне сегодня два банка сменили пароли от банк-клиентов принудительно! неужели все так серьезно?????

Ответить
Развернуть ветку
Деловой каякер

Невероятно серьёзно http://habrahabr.ru/post/218661/

Ответить
Развернуть ветку
Читать все 15 комментариев
null