OpenBSD: 33 éves biztonsági hiba

Az egyik OpenBSD fejlesztő olyan sebezhetőségre bukkant, amely nem kevesebb, mint 33 éve került az operációs rendszerbe.

Marc Balmer svájci fejlesztő májusban arról számolt be, hogy egy igencsak meglepő biztonsági hibát fedezett fel az OpenBSD operációs rendszerben. A hiba elsősorban azért keltette fel az érdeklődést, mert kiderült róla, hogy már 25 éves múlttal rendelkezik, azaz több mint két évtizeden keresztül megtalálható volt a népszerű operációs rendszer kódjában. Ráadásul a sebezhetőségről bebizonyosodott, hogy az az összes BSD alapú rendszert érinti, még a Mac OS X-et is. A kuriózumnak számító, 25 éves biztonsági hiba azonban nem sokáig maradt csúcstartó, legalábbis ami a korát illeti.

A napokban ugyanis Otto Moerbeek, OpenBSD fejlesztő egy nem kevesebb, mint 33 éve létező sebezhetőségre akadt. Mindez azt jelenti, hogy a hiba még az 1975-ben kiadott, hatodik verziójú rendszerbe került bele, és azóta ott lapult. A Moerbeek által feltárt biztonsági rést eddig a Sparc64 rendszerekkel kompatibilis OpenBSD-ben sikerült kimutatni.

A 33 éves sérülékenység felfedezésére érdekes körülmények között került sor. Moerbeek egy bejelentést kapott, miszerint Sparc64 platformon, a legújabb malloc használata mellett egy nagy C++ alkalmazás fordítása belső fordítási hibák miatt nem lehetséges. Mivel Moerbeek éppen a malloc tesztelésével foglalatoskodott, ezért viszonylag hamar sikerült felismernie a problémát. Az új malloc ugyanis az eddigieknél szigorúbb módszerekkel veszi fel a küzdelmet a puffertúlcsordulási hibák ellen, és ezzel jelentős mértékben hozzájárult az öreg sebezhetőség kiszűréséhez. A biztonsági hiba felfedezését követően Moerbeek elérhetővé tette a sebezhetőség megszüntetésére alkalmas, javított kódot.