Dilbertネタにもなってるぐらいのネタになった(ソース(笑)は、コレ)、DebianのOpenSSLに安易にパッチしちゃったぜ問題。

どんなに頑張ってても、たった一人セキュリティ知識が甘い奴が居るだけで、そこら中がドミノ倒しになるかもという恐ろしい問題。

上記のリンクはよくまとまってるので、見ると良いと思いますが、思ったことをいくつか。

  1. こんな重要なセキュリティコンポーネントにパッチをあててしまう無神経さ。どうしてオリジナルのディストリビューションにコードマージしてもらおうとせずに、パッチで解決するのか。というか、なぜ、オリジナルのチームに相談しないのかという問題。コードレビューとかしてないの? 前から不思議なんだけど、どうして、ローカルパッチあてたあとフィードバックしないのかね?

  2. OpenSSLのコードにも、この点については、コメントとか入っていてしかるべきだったと思う。分かる人には分かる、は、こういう場合は駄目だろうな。問題は、乱数の種に初期化されていないデータつかってるんだけど、Purify等のツールで文句を言われたので、削ってしまったということで、そういうコードは、おれだったら、しっかり目立つようにコメントつける。。

  3. もとの修正(2006年)の後に、OpenSSLでも話題になってたり(2007年)するのに誰も気づいてなかったみたい。。

  4. 先のページで実験が書いてあるけど、4Kbit の鍵を作るように用心深くても、たった1行のコードが削られただけで、これだけ弱くなっちゃうということ。4Kbitの弱い鍵のリスト作るのに、ちょっとした機材(Xeon 2.33Ghz x 31 core) で、数時間しかかからない。

そんなわけで、またこの手の事故が起きない保証は、まったくないので、鍵生成はOpenBSDでやることにしようかと思ったりします。多分、一番安全。

itojunだったら、なんと言ったろうなぁ。


blog comments powered by Disqus