開源運動是否走到盡頭?--談談怎樣看待OpenSSL心臟出血

windshome發表於2015-03-16
開源運動是隨著Linux作業系統的誕生和廣泛被使用而逐步被人們所接受的,對軟體產業和IT產業來講,是一個重大變革。開源運動,建立了一種新的模式。這種模式應該是更加積極,促進IT產業和軟體產業發展的。

OpenSSL是開原始碼中,最最廣泛被使用的開源庫,最初是以Eric Young以及Tim Hudson兩人所寫的SSLeay為基礎所發展的。

近些年,隨著網際網路的發展,OpenSSL也遇到了很多問題,爆出了很多bug,別的不說,就只看去年的“心臟出血”吧,我以前一直沒有怎麼關注,近期看了看,也就是一個C語言不檢查陣列長度和copy記憶體引起的,應該也算不大多麼大的問題。

關鍵問題不是這個漏洞技術分析本身,而是這個深思這個漏洞,我們能夠發現幾個方面的問題:

1、敷衍了事的設計或根本沒有設計

C語言不檢查數字長度,記憶體copy不慎重的話容易導致緩衝器溢位問題,這個問題多少年了?OpenSSL還在使用最最危險的C庫函式。難道是他們不瞭解C語言的這一特性嗎?作為一個被如此廣泛使用的基礎性的軟體,理所應當經過認真的分析和設計,考慮到這些情況,設計和編碼經過嚴格的review。之所以還是存在這樣的漏洞,是為了什麼?

..............

後續內容沒有繼續貼過來,請有興趣的朋友參見 http://windshome.iteye.com/blog/2192830

相關文章