The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. |
4月15日(現地時間)にOpenBSD Journalに掲載された記事「OpenBSD has started a massive strip-down and cleanup of OpenSSL 」が、OpenBSDの開発者らがOpenSSLソースコードのクリーンナップに取りかかっていると伝えた。
今回、広く影響を与えたOpenSSLのセキュリティ脆弱性(通称Heartbleed)は、実行速度を優先させて独自のメモリ処理を実装していたことや試験が包括的に実施されていなかったことなどに問題があり、そういった開発姿勢に懸念があると見る向きが出てきている。OpenBSDプロジェクトはより安全なOpenSSLを実現するとして、OpenSSLの開発チームではなくOpenBSDの開発者らがコードのクリーンナップに取り組む姿勢を見せている。
OpenBSDではそもそも今回のOpenSSLのセキュリティ脆弱性のような問題があったとしても、カーネルレベルでそういった問題に対する対処能力を実装しているため、本来であればこの問題の影響はあまり受けないはずだった。しかし実際にはOpenSSLのコードはOpenBSDカーネルが提供しているメモリ管理機能ではなく、独自に実装したメモリ管理機能を使っており、OpenBSDのカーネルが提供しているセキュリティ機能の恩恵を受けることができなかった。
既存の実装にどういった問題があったのかは「analysis of openssl freelist reuse」に説明がまとまっている。OpenBSDは特にセキュリティに関する開発が活発なオペレーティングシステム。ほかのオペレーティングシステムで使われているOpenSSHなどの重要なソフトウェアはOpenBSDプロジェクトによって開発されている。