opensslfoundation.org

Немецкий программист Робин Зеггельман, который добавил в пакет OpenSSL критическую уязвимость Heartbleed, заявил, что сделал это непреднамеренно, передает TJournal. Зеггельман дал интервью австралийской газете The Syndey Morning Herald, подчеркнув, что ошибка, которую окрестили Heartbleed ("Кровоточащее сердце") оказалась в коде случайно.

Зеггельман сообщил, что ошибка появилась в предварительных версиях кода в декабре 2011 года, когда он работал над улучшением OpenSSL и готовил к отправке на утверждение несколько исправлений для уже существовавших багов.

Работая над написанием кода для одной функции, Зеггельман забыл прописать проверку длины запроса. Эту ошибку не заметил не только он, но и человек, проверявший работу программиста. Таким образом она и попала в окончательный релиз OpenSSL, выпущенный в 2012 году, и оставалась незамеченной вплоть до начала апреля 2014 года.

Зеггельман отметил, что не имел злого умысла, а ошибка сама по себе была простой и банальной. К большому сожалению программиста, она была допущена в критически важном месте.

Напомним, о наличии серьезной уязвимости в пакете OpenSSL, предназначенном для защиты и сертификации данных, стало известно в понедельник вечером, когда разработчики сообщили об устранении ошибки, существовавшей с марта 2012 года.

Обнаруженная уязвимость была связана с отсутствием необходимой проверки длины запроса одной из процедур расширения Heartbeat. Из-за этого любой злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, чьи коммуникации были защищены уязвимой версией OpenSSL.

Эксперты признали ошибку чрезвычайно серьезной. Выяснилось, что теоретически проблема безопасности могла коснуться 65% всех серверов в мире. Известный специалист по безопасности Брюс Шнайер оценил степень ее угрозы в 11 баллов из 10.

Поскольку большинство компаний установили исправленные версии пакета OpenSSL, угроза для пользователей в основном миновала, однако специалисты настоятельно рекомендуют сменить установленные ранее пароли.