Da a basa di codice nantu à quale a liberazione di FreeBSD 13 hè stata furmata, u codice chì implementa u protokollu WireGuard VPN, sviluppatu per ordine di Netgate senza cunsultazione cù i sviluppatori di u WireGuard originale, è digià inclusu in e versioni stabili di a distribuzione pfSense, era scandalosamente. sguassatu. Dopu a rivisione di u codice da Jason A. Donenfeld, l'autore di u WireGuard originale, hè risultatu chì l'implementazione pruposta di FreeBSD di WireGuard era un pezzu di codice shoddy, riddled with buffer overflows è violazione di a GPL.
L'implementazione cuntene difetti catastròfichi in u codice di criptografia, una parte di u protokollu WireGuard hè stata omessa, ci sò stati errori chì anu purtatu à u crash di u kernel è bypassing i metudi di sicurità, è i buffers di dimensione fissa sò stati utilizati per i dati di input. A prisenza di stubs invece di cuntrolli chì sempre tornanu "veru", è ancu scurdatu di debugging printfs cù l'output di paràmetri utilizati per a criptografia, è l'usu di a funzione di u sonnu per prevene e cundizioni di razza dicenu assai di a qualità di u codice.
Alcune parti di u codice, cum'è a funzione crypto_xor, sò stati purtati da l'implementazione WireGuard sviluppata per Linux, in violazione di a licenza GPL. In u risultatu, Jason Donenfield, cù Kyle Evans è Matt Dunwoodie (autore di u portu WireGuard per OpenBSD), hà pigliatu u compitu di rielaborazione di l'implementazione problematica è, in una settimana, hà rimpiazzatu cumplettamente tuttu u codice di u sviluppatore assuciatu da Netgate. . A versione mudificata hè stata liberata cum'è un settore separatu di patch, pusatu in u repositoriu di u prugettu WireGuard è ùn hè ancu inclusu in FreeBSD.
Curiosamente, inizialmente ùn ci era micca signali di prublemi Netgate, chì vulia pudè usà WireGuard in a distribuzione pfSense, hà assuciatu Matthew Macy, chì hè bè versatu in u kernel FreeBSD è a pila di a rete, hè implicatu in correzioni di bug è hà una sperienza di sviluppu; i driver di rete di stu sistema operatore. Macy hè stata datu un calendariu flessibile senza scadenze o cuntrolli à mità di termine. I sviluppatori chì anu scontru à Macy mentre travagliavanu in FreeBSD l'anu descrittu cum'è un programatore talentu è prufessiunale chì ùn hà fattu più sbagli chì l'altri è hà rispostu bè à a critica. A poca qualità di u codice di implementazione WireGuard per FreeBSD hè stata una sorpresa per elli.
Dopu à 9 mesi di travagliu, Macy hà aghjustatu a so implementazione à a filiera HEAD, chì hè stata aduprata per furmulà a liberazione di FreeBSD 13, u dicembre scorsu senza cumpiimentu di peer review è teste U sviluppu hè statu fattu senza cumunicazione cù i sviluppatori di u WireGuard originale Porti OpenBSD è NetBSD. In u frivaru, Netgate hà integratu WireGuard in a versione stabile di pfSense 2.5.0 è hà cuminciatu à spedinu firewall basatu annantu à questu. Dopu chì i prublemi sò stati identificati, u codice WireGuard hè statu eliminatu da pfSense.
U codice aghjuntu hà revelatu vulnerabili critichi chì sò stati utilizati in 0-day exploits, ma Netgate in prima ùn hà micca ricunnisciutu l'esistenza di vulnerabili è hà pruvatu à accusà u sviluppatore di u WireGuard originale di attacchi è preghjudizii, chì affettanu negativamente a so reputazione. U sviluppatore di u portu inizialmente hà rifiutatu l'affirmazioni nantu à a qualità di u codice è li hà cunsideratu esagerati, ma dopu avè dimustratu l'errori, hà attiratu l'attenzione à u fattu chì u prublema veramente impurtante hè a mancanza di rivisione curretta di a qualità di codice in FreeBSD, perchè i prublemi ùn anu micca rilevatu per parechji mesi. (I rapprisentanti di Netgate anu indicatu chì u publicu a rivista hè stata lanciata in Aostu 2020, ma i sviluppatori individuali di FreeBSD anu nutatu chì in Phabricator a rivista hè stata chjusa da Macy senza cumpletamenti è cun cumenti ignorati). U FreeBSD Core Team hà rispostu à l'incidentu promettendu di mudernizà i so prucessi di rivisione di codice.
Matthew Macy, u sviluppatore di u portu problematicu FreeBSD, hà cummentatu a situazione dicendu chì hà fattu un grande sbagliu per piglià u travagliu senza esse prontu à implementà u prugettu. Macy spiega u risultatu risultatu da u burnout emutivu è u risultatu di i prublemi chì sò sviluppati per u sindromu post-Covid. À u listessu tempu, Macy ùn hà micca trovu a determinazione di abbandunà l'obligazioni ch'ellu avia digià assuciatu è hà pruvatu à purtà u prughjettu à a fine.
A cundizione di Macy pò ancu esse stata affettata da una recente sentenza di prigiò chì hà ricevutu per avè tentatu illegale di scacciare inquilini da una casa chì hà compru chì ùn anu micca vulsutu à spustà volontariamente. Invece, ellu è a so moglia segavanu e travi di u pavimentu è rumpianu i buchi in i piani per fà a casa inabitabile, è ancu pruvatu à intimidà i residenti, sfondate in appartamenti occupati è caccià e so cose (l'azzione hè stata classificata cum'è robba). Per evità a rispunsabilità di e so azzioni, Macy è a so moglia fughjenu in Italia, ma sò stati estraditi in i Stati Uniti è anu servitu più di quattru anni in prigiò.
Source: opennet.ru