Heartbleed war nicht das letzte Stroh für OpenBSD, um LibreSSL zu kreieren

Obwohl nur 30 Tage in seinen Push zu einem Drop-in Ersatz für OpenSSL zu schaffen, legte OpenBSD-Stiftung Direktor Bob Beck ein Status-Update auf das Projekt auf der BSDCan Konferenz über das Wochenende.

Im Kern der Entscheidung, OpenSSL zu forkeln, war nicht der, stark beleuchtete Fehler, sondern eine Entscheidung, die von den Entwicklern von OpenSSL getroffen wurde, um einen eigenen benutzerdefinierten Speicherzuweiser zu erstellen.

“Im Grunde haben sie beschlossen, malloc ist langsam auf einigen Plattformen, so let ‘s davon ausgehen, dass malloc ist langsam überall”, sagte Beck.

Lassen Sie uns unseren eigenen Cache implementieren, der niemals etwas befreit und nur die Objekte wiederverwendet. Besser noch, die Art, wie es Objekte wieder verwendet, ist es hält eine Last-in, First-out-Warteschlange, so dass, wenn Sie tatsächlich einen Gebrauch-after-free tun, sind die Chancen hervorragend, dass dieses Objekt noch da ist.

Tatsächlich ist es fast sicher, dass, wenn Sie etwas frei und verwenden Sie es sofort, das Ding ist immer noch da und es spielt keine Rolle, dass Sie es befreit.

Beck sagte, dass der kundenspezifische Verteiler Heartbleed “das viel schlechter” machte und war ein “sehr wirkungsvolles Ausnutzungsmethode-Gegenmaßnahme”, da es “nicht besser entworfen werden konnte”, um Angriffe schwer zu erkennen.

Eine OpenSSL-Funktion, um den Zuweiser in den Debugging-Modus zu senden, indem nur ein Wort des laufenden Speichers geändert werden muss, woraufhin der Zuweiser alle Datenzuweisungen einschließlich Inhalte zu einer Protokolldatei protokolliert.

“Dies ist nicht nur ein Debugging-Mallok, es ist eine mögliche Angriffsfläche”, sagte Beck.

Herbalbleed selbst, sagte Beck, war ein ziemlich allgemeiner Fehler, die Art, die OpenBSD Entwickler holen die ganze Zeit, wenn sie Blick auf Code nicht verwendet, um die Art und Weise, dass OpenBSD Speicherzuweiser funktioniert.

Heartbleed war wirklich nicht der letzte Strohhalm für uns “, sagte er.” Dies ist keine einmalige Situation in der Software-Entwicklung durch irgendeine Ausdehnung der Phantasie – es ist nur ein ziemlich hohes Profil.

Die Code-Basis von OpenSSL eignet sich nicht für die Beteiligung der Gemeinschaft, sagte Beck, und es war ein Schwerpunkt für das LibreSSL-Projekt.

“Der Code ist ernsthaft zu schrecklich, es sind deine Eltern, die davon sprechen, woher du schrecklich geworden bist”, sagte er.

“Ich denke ehrlich, dass es nicht unbedingt vorsätzliche Inkompetenz oder Bosheit ist, es ist nur ein Fall der Codebase, die so zu gehen beginnt und niemand hat die Zeit und Mühe gemacht, es zu beheben, und niemand hat genug von einer starken Hand zu sagen “Das kann nicht so bleiben”.

Anfang dieses Jahres zeigte OpenBSD, dass, sofern nicht CAD $ 150.000 erhöht wurden, um seine Stromrechnung zu bezahlen, das Projekt aufhören mussten Operationen, – eine Woche später, das Projekt angekündigt, sein Finanzierungsziel erreicht wurde.

Obwohl nicht bis zu dem Tempo der früheren Fundraising-Anstrengungen, LibreSSL und seine “Weaponized Comic Sans” -Webseite haben zwischen CA $ 25.000 und CA $ 40.000 in seinem ersten Monat erhöht.

Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundes-Chief Information Security Officer, Sicherheit, Pentagon für Cyber ​​kritisiert -Notfall Reaktion durch die Regierung Watchdog

Beck sagte, dass die OpenBSD Foundation Patenschaft suchte, um mehrere Entwickler zu finanzieren, um die Umschreibungsbemühungen fortzusetzen und den Ports-Team-Track zu unterstützen und Änderungen stromaufwärts vorzunehmen, ohne die anderen Projekte von OpenBSD zu stören.

Wir würden es gerne tun, aber wir wollen es nicht auf Kosten der üblichen Ressourcen, die etwas dürftig sind, um OpenBSD, OpenSSH und verwandten Sachen beizubehalten.

OpenBSD hat die Linux Foundation zur Finanzierung angesprochen, aber noch keine Antwort erhalten.

Wir haben einen sehr guten Start bei der Reinigung, es ist sicherlich viel besser als vor einem Monat “, sagte Beck.” Wir wissen, wo wir hin wollen, und wir wollen den Rest der Gemeinschaft mitbringen mit uns.

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Bundesleiter für Informationssicherheit

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog