forum.opennet.ru

Составление сообщения

Исходное сообщение

"Аккаунты на серверах debian.org заблокированы из-за уязвимос..."
Отправлено PereresusNeVlezaetBuggy, 14-Май-08 20:14

>> Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.
>
>полностью согласен, Вы абсолютно правы.
>И в данной ситуации, разработчики из debian как ответственные люди - обсуждали
>с разработчиками openssl это исправление, но вот в чём проблема -
>ни первые ни вторые, не заметили этой ошибки...
Насколько я понял, там всё малость сложнее (и тупее)...
В Debian натравливают valgrind на OpenSSL. Тот ругается на строчку, связанную с чтением из неинициализированной области памяти. Недолго думая, в Debian строчку комментируют, и отсылают патчег в OpenSSL. Разработчики OpenSSL говорят, что патч некорректен, и через какое-то время делают свой фикс, не затрагивающий строчку, фигурировавшую в изначальном патче.
Фактически PRNG в OpenSSL использует различные методы для увеличения энтропии, и один из них - чтение неинициализированной части стека. Прошу заметить: не в качестве единственного или основного метода, а в дополнение к другим, т.е., энтропия от этого не ухудшалась в любом случае. В Debian своим патчем затронули не только этот метод, но и результаты работы остальных методов... со всеми (ныне) вытекающими.
Так что ошибка была замечена, но OpenSSL-разработчики не стали утруждать себя информированием о том, _почему_ исходный патч был некорректен, ну а Debian-овцы, положившись на valgrind ("миллионы мух не могут ошибаться!"), в итоге лажанулись.
Тем не менее, как уже было не раз сказано, в Debian свои ошибки не побоялись открыто признать и оперативно исправить, и за это их _администраторов_ нельзя не уважать.
BTW: http://daniel.molkentin.de/blog/archives/118-On-the-topic-of...

Исходное сообщение
"Аккаунты на серверах debian.org заблокированы из-за уязвимос..." Отправлено PereresusNeVlezaetBuggy, 14-Май-08 20:14
>> Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным. > >полностью согласен, Вы абсолютно правы. >И в данной ситуации, разработчики из debian как ответственные люди - обсуждали >с разработчиками openssl это исправление, но вот в чём проблема - >ни первые ни вторые, не заметили этой ошибки... Насколько я понял, там всё малость сложнее (и тупее)... В Debian натравливают valgrind на OpenSSL. Тот ругается на строчку, связанную с чтением из неинициализированной области памяти. Недолго думая, в Debian строчку комментируют, и отсылают патчег в OpenSSL. Разработчики OpenSSL говорят, что патч некорректен, и через какое-то время делают свой фикс, не затрагивающий строчку, фигурировавшую в изначальном патче. Фактически PRNG в OpenSSL использует различные методы для увеличения энтропии, и один из них - чтение неинициализированной части стека. Прошу заметить: не в качестве единственного или основного метода, а в дополнение к другим, т.е., энтропия от этого не ухудшалась в любом случае. В Debian своим патчем затронули не только этот метод, но и результаты работы остальных методов... со всеми (ныне) вытекающими. Так что ошибка была замечена, но OpenSSL-разработчики не стали утруждать себя информированием о том, _почему_ исходный патч был некорректен, ну а Debian-овцы, положившись на valgrind ("миллионы мух не могут ошибаться!"), в итоге лажанулись. Тем не менее, как уже было не раз сказано, в Debian свои ошибки не побоялись открыто признать и оперативно исправить, и за это их _администраторов_ нельзя не уважать. BTW: http://daniel.molkentin.de/blog/archives/118-On-the-topic-of...

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру