Heartbleed開発者曰く、OpenSSLのバグは開発時のミス
タレコミ by headless
headless 曰く、
諜報機関の関与も疑われているOpenSSLの「Heartbleed」バグだが、原因を作った開発者は意図的なバグの挿入を否定し、開発時のミスだと説明している(Deutsche Telekomの記事、 The Sydney Morning Heraldの記事、 PC Proの記事、 The Globe and Mailの記事、 本家/.)。
この開発者は当時ドイツ・ミュンスター大学の大学院生で、現在はDeutsche Telekomに勤務している。大学ではOpenSSLを使用した研究を行っており、研究の一環としてバグフィックスや新機能などでOpenSSLプロジェクトに貢献していた。しかし、TLS/DTLSのHeartbeat拡張に関して、実数値を格納する変数で値の長さのチェック漏れがあったという。そのため、不正な値を入力することで、メモリー上のデータを意図した長さ以上に読み取ることが可能になっていた。このミスは不運にもコードレビューで発見されることはなく開発バージョンに追加され、その後公式にリリースされてしまったとのことだ。
Heartbleed開発者曰く、OpenSSLのバグは開発時のミス More ログイン