GAIR
您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
业界专题 正文
发私信给张驰
发送

0

Heartbleed代码作者发声:这是一次严重的意外

本文作者:张驰 2014-04-11 15:32
导语:OpenSSL的Heartbleed漏洞最近闹得沸沸扬扬,众多互联网公司的工程师们也是连夜加班,赶在信息泄露前修补漏洞。而这一漏洞的始作俑者——德国软件工程师Robin Seggelmann——也第一次向媒体表示,这是一次后果严重的意外,自己并非有意为之

OpenSSL的Heartbleed漏洞最近闹得沸沸扬扬,众多互联网公司的工程师们也是连夜加班,赶在信息泄露前修补漏洞。而这一漏洞的始作俑者——德国软件工程师Robin Seggelmann——也第一次向媒体表示,这是一次后果严重的意外,自己并非有意为之。

Heartbleed事件爆发后,雷锋网(公众号:雷锋网)在第一时间进行了报道,对于这一漏洞到底是什么,整个事件的来龙去脉又是怎样,也做了详细的分析和解读。对于自己所去的网站是否仍受此漏洞的影响,可以在Heartbleed Test输入网址进行查询。著名的安全专家 Bruce Schneier表示,如果类似事件的影响程度分为1-10级的话,这次事件的影响会达到11级。再让我们来看一看Heartbleed漏洞的代码开发者是怎么说的。

不幸的疏漏

Seggelmann表示这一漏洞是他和一位审核员在工作上“不幸”的疏漏造成的,是他们在两年前将这一漏洞引入了OpenSSL开源加密协议。“我当时在对OpenSSL进行完善,修订了许多漏洞,也增加了不少新功能”,Seggelmann表示,“不幸的是,在其中一项功能中,我忘了对一个包含长度的变量进行验证。”

在他提交代码后,审核员也没有注意到这一遗漏,这一漏洞也就随正式版本一起被发布。有消息人士称,当时的审核员是Stephen Henson博士。Seggelmann表示,这是一个十分不起眼的错误,但其影响十分严重。

阴谋论

Heartbleed事件发生后,除了急忙修补漏洞外,不少阴谋论者纷纷猜测,这次事件是有人有意为之。Seggelmann表示,这种猜测也是理所当然的,特别是在斯诺登(Edward Snowden)事件发生后。

“不过这次事件只是编程上的纰漏,碰巧发生在安全领域而已”,他表示,“我并不是有意留下漏洞,而且之前修复了不少OpenSSL的漏洞,对这一开源项目我只想尽自己的一份力。”

尽管否认了自己有不良企图,Seggelmann也表示,在过年两年中,情报机构完全有可能一直在利用这一漏洞。“这完全有可能,在安全领域往坏处想也没什么不好。不过在漏洞发布前,我自己也一无所知,而且我也不属于任何情报机构,只能做出一些推测。”

Seggelmann表示,如果这一事件有什么积极影响的话,那就是开源软件需要更多的人加入进来,贡献自己的力量。“有几百万人在使用OpenSSL,但没多少人在维护它。开源软件的好处是每个人都可以随时检查代码,对于OpenSSL这样的项目,参与的人越多越好。”

在Heartbleed事件发生后,又有不少人以此为契机认为开源软件没有闭源软件安全。不过这不能一概而论。正如Seggelmann所说,开源软件的优势是开发过程完全透明,可以随时发现漏洞。

via itpro

相关:

原来地壳也会塌 OpenSSL“心脏出血”漏洞

写在互联网“流血事件”48小时后

雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情

专业写瞎

不受意识控制地报道那些让人感动的产品技术和事件......zhchsimons@gmail.com ;微信:nksimons;《脑洞》公众号:hackmind
当月热门文章
最新文章
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介