کوڈ بیس سے جس پر FreeBSD 13 کی ریلیز کی گئی تھی، WireGuard VPN پروٹوکول کو نافذ کرنے والا کوڈ، جو Netgate کے حکم سے اصلی WireGuard کے ڈویلپرز کے ساتھ مشاورت کے بغیر تیار کیا گیا تھا، اور pfSense ڈسٹری بیوشن کی مستحکم ریلیز میں پہلے ہی شامل کیا گیا تھا ہٹا دیا اصل WireGuard کے مصنف جیسن A. Donenfeld کے کوڈ کے جائزے کے بعد، یہ معلوم ہوا کہ FreeBSD کا WireGuard کا مجوزہ نفاذ ناقص کوڈ کا ایک ٹکڑا تھا، جس میں بفر اوور فلو اور GPL کی خلاف ورزی تھی۔
اس عمل میں کرپٹوگرافی کوڈ میں تباہ کن خامیاں تھیں، وائر گارڈ پروٹوکول کے کچھ حصے کو چھوڑ دیا گیا تھا، ایسی غلطیاں تھیں جن کی وجہ سے کرنل کریش ہوا اور حفاظتی طریقوں کو نظرانداز کیا گیا، اور ان پٹ ڈیٹا کے لیے فکسڈ سائز بفرز استعمال کیے گئے۔ چیک کے بجائے اسٹبس کی موجودگی جو ہمیشہ "سچ" لوٹتے ہیں، نیز انکرپشن کے لیے استعمال ہونے والے پیرامیٹرز کے آؤٹ پٹ کے ساتھ فراموش شدہ ڈیبگنگ پرنٹ ایف، اور ریس کے حالات کو روکنے کے لیے سلیپ فنکشن کا استعمال کوڈ کے معیار کے بارے میں بہت کچھ بتاتا ہے۔
کوڈ کے کچھ حصے، جیسے crypto_xor فنکشن، GPL لائسنس کی خلاف ورزی کرتے ہوئے، Linux کے لیے تیار کردہ WireGuard نفاذ سے پورٹ کیے گئے تھے۔ نتیجے کے طور پر، جیسن ڈون فیلڈ نے کائل ایونز اور میٹ ڈن ووڈی (اوپن بی ایس ڈی کے لیے وائر گارڈ پورٹ کے مصنف) کے ساتھ مل کر اس مشکل عمل کو دوبارہ شروع کرنے کا کام سنبھالا اور، ایک ہفتے کے اندر، نیٹ گیٹ کی خدمات حاصل کرنے والے ڈویلپر کے تمام کوڈ کو مکمل طور پر تبدیل کر دیا۔ . ترمیم شدہ ورژن کو پیچ کے ایک علیحدہ سیٹ کے طور پر جاری کیا گیا تھا، جو WireGuard پروجیکٹ کے ذخیرے میں رکھا گیا تھا اور اسے ابھی تک FreeBSD میں شامل نہیں کیا گیا ہے۔
دلچسپ بات یہ ہے کہ شروع میں پریشانی کے کوئی آثار نہیں تھے؛ نیٹ گیٹ، جو پی ایف سینس ڈسٹری بیوشن میں وائر گارڈ کو استعمال کرنے کے قابل ہونا چاہتا تھا، میتھیو میسی کی خدمات حاصل کیں، جو فری بی ایس ڈی کرنل اور نیٹ ورک اسٹیک میں مہارت رکھتا ہے، بگ فکسز میں ملوث ہے اور اسے ترقی کرنے کا تجربہ ہے۔ اس آپریٹنگ سسٹم کے نیٹ ورک ڈرائیورز۔ میسی کو ایک لچکدار شیڈول دیا گیا تھا جس میں کوئی ڈیڈ لائن یا وسط مدتی چیک نہیں تھا۔ فری بی ایس ڈی پر کام کرنے کے دوران میسی سے ملنے والے ڈویلپرز نے اسے ایک باصلاحیت اور پیشہ ور پروگرامر کے طور پر بیان کیا جس نے دوسروں سے زیادہ غلطیاں نہیں کیں اور تنقید کا مناسب جواب دیا۔ فری بی ایس ڈی کے لیے وائر گارڈ کے نفاذ کوڈ کا ناقص معیار ان کے لیے حیران کن تھا۔
9 ماہ کے کام کے بعد، میسی نے اپنے نفاذ کو ہیڈ برانچ میں شامل کیا، جس کا استعمال فری بی ایس ڈی 13 کی ریلیز بنانے کے لیے کیا گیا تھا، پچھلے دسمبر میں ہم مرتبہ کے جائزے اور جانچ کی تکمیل کے بغیر۔ ترقی اصل وائر گارڈ کے ڈویلپرز کے ساتھ بات چیت کے بغیر کی گئی تھی۔ اوپن بی ایس ڈی اور نیٹ بی ایس ڈی پورٹس۔ فروری میں، نیٹ گیٹ نے WireGuard کو pfSense 2.5.0 کی مستحکم ریلیز میں ضم کیا اور اس کی بنیاد پر فائر وال کی ترسیل شروع کی۔ مسائل کی نشاندہی کرنے کے بعد، WireGuard کوڈ کو pfSense سے ہٹا دیا گیا۔
شامل کردہ کوڈ نے اہم کمزوریوں کا انکشاف کیا جو 0 دن کے کارناموں میں استعمال کیے گئے تھے، لیکن پہلے Netgate نے خطرات کی موجودگی کو تسلیم نہیں کیا اور اصل WireGuard کے ڈویلپر پر حملوں اور تعصب کا الزام لگانے کی کوشش کی، جس نے اس کی ساکھ کو منفی طور پر متاثر کیا۔ پورٹ ڈویلپر نے شروع میں کوڈ کے معیار کے بارے میں دعووں کو مسترد کر دیا اور انہیں مبالغہ آرائی پر مبنی سمجھا، لیکن غلطیوں کا مظاہرہ کرنے کے بعد، اس نے اس حقیقت کی طرف توجہ مبذول کرائی کہ واقعی اہم مسئلہ FreeBSD میں کوڈ کے معیار کا صحیح جائزہ نہ لینا ہے، کیونکہ مسائل کا کئی مہینوں تک پتہ نہیں چل سکا۔ (نیٹ گیٹ کے نمائندوں نے اشارہ کیا کہ عوامی جائزہ اگست 2020 میں دوبارہ شروع کیا گیا تھا، لیکن انفرادی FreeBSD ڈویلپرز نے نوٹ کیا کہ Phabricator میں جائزہ کو میسی نے مکمل کیے بغیر بند کر دیا تھا اور تبصروں کو نظر انداز کر دیا گیا تھا)۔ فری بی ایس ڈی کور ٹیم نے اپنے کوڈ کے جائزے کے عمل کو جدید بنانے کا وعدہ کرتے ہوئے اس واقعے کا جواب دیا۔
مسئلہ فری بی ایس ڈی پورٹ کے ڈویلپر میتھیو میسی نے صورتحال پر تبصرہ کرتے ہوئے کہا کہ اس نے پروجیکٹ کو لاگو کرنے کے لیے تیار کیے بغیر کام سنبھال کر ایک بڑی غلطی کی۔ میسی جذباتی برن آؤٹ اور پوسٹ کوویڈ سنڈروم کی وجہ سے پیدا ہونے والے مسائل کے نتیجے کے نتیجے کی وضاحت کرتی ہے۔ اس کے ساتھ ہی میسی نے اپنی ذمہ داریوں کو ترک کرنے کا عزم ظاہر نہیں کیا اور اس نے اس منصوبے کو پایہ تکمیل تک پہنچانے کی کوشش کی۔
میسی کی حالت حال ہی میں قید کی سزا سے بھی متاثر ہوئی ہو گی جسے اس نے اپنے خریدے ہوئے مکان سے کرایہ داروں کو غیر قانونی طور پر بے دخل کرنے کی کوشش کرنے پر حاصل کیا تھا جو رضاکارانہ طور پر باہر جانے کے لیے تیار نہیں تھے۔ اس کے بجائے، اس نے اور اس کی بیوی نے فرش کے شہتیروں کو آرا کیا اور گھر کو غیر آباد بنانے کے لیے فرش میں سوراخ کیے، اور رہائشیوں کو دھمکانے کی بھی کوشش کی، مقبوضہ اپارٹمنٹ میں توڑ پھوڑ کی اور ان کا سامان لے گئے (اس کارروائی کو چوری کے طور پر درجہ بندی کیا گیا تھا)۔ اپنے اعمال کی ذمہ داری سے بچنے کے لیے، میسی اور اس کی اہلیہ اٹلی فرار ہو گئے، لیکن انہیں امریکہ کے حوالے کر دیا گیا اور چار سال سے زیادہ جیل میں گزارے۔
ماخذ: opennet.ru