OpenBSD: beveiligingsprobleem van 33 jaar

Een OpenBSD-ontwikkelaar is een kwetsbaarheid tegengekomen die al 33 jaar in het besturingssysteem zit.

De Zwitserse ontwikkelaar Marc Balmer meldde in mei dat hij een nogal verrassende beveiligingsfout in het OpenBSD-besturingssysteem had ontdekt. De fout wekte vooral interesse omdat het een geschiedenis van 25 jaar bleek te hebben, wat betekent dat het meer dan twee decennia in de code van het populaire besturingssysteem te vinden was. Bovendien is aangetoond dat de kwetsbaarheid alle op BSD gebaseerde systemen treft, zelfs Mac OS X. De merkwaardige 25-jarige beveiligingsfout is echter niet lang een topklasse gebleven, althans voor zijn leeftijd.

Tegenwoordig is Otto Moerbeek, een OpenBSD-ontwikkelaar, een kwetsbaarheid tegengekomen die al 33 jaar bestaat. Dit alles betekent dat de bug zich nog in de zesde versie van het systeem bevond die in 1975 werd uitgebracht en daar sindsdien op de loer ligt. De door Moerbeek geïdentificeerde kwetsbaarheid is tot nu toe ontdekt in Sparc64-compatibele OpenBSD.

De 33-jarige kwetsbaarheid werd ontdekt onder interessante omstandigheden. Moerbeek heeft een aankondiging ontvangen dat Sparc64-platform, de nieuwste malloc Het samenstellen van een grote C++ applicatie is door interne vertaalfouten niet mogelijk. Omdat Moerbeek net bezig was met het testen van malloc, kon hij het probleem relatief snel herkennen. Dit komt omdat de nieuwe malloc een rigoureuzere aanpak hanteert voor fouten in de bufferoverloop dan voorheen, en een belangrijke bijdrage heeft geleverd aan het uitfilteren van oude kwetsbaarheden. Na de ontdekking van de beveiligingsfout heeft Moerbeek de gepatchte code beschikbaar gesteld om de kwetsbaarheid te verhelpen.