>> почему, использовать. только выкладывать исправления критических багов одновременно с релизом исправлений.
> Это вы сейчас знаете, что этот коммит является *полным* исправлением уязвимости. Потому что вам добрые дяди об этом рассказали в DSA.Я и не спорю. И в восемнадцатый раз вам повторяю — это вам и мне нужны DSA. А людям, которые на дырках в ПО зубы съели, DSA не нужны — они сами в состоянии их писать, но предпочитают иметь профит с эксплуатации.
> А тогда - это был просто коммит. Часть промежуточной работы мейнтейнера, которую он мог обсуждать еще далее в рассылках, которая вполне могла бы и не быть реальным исправлением проблемы.
Если бы я зарабатывал на жизнь эксплуатацией дырок, я с удовольствием бы ревьюил ВСЕ коммиты в популярные сервисы популярных дистрибутивов.
И что, блин, значит «могла бы быть»? Он программист или где? Вы программист или где?
> Что, теперь на ушко только шептаться мейнтейнерам?
если честно, мне пофиг, что будут делать maintainerы. но выкладывать фикс критической баги за неделю до релиза пакетов с фиксом — фейл.
>> пруф?
> Для детишек, по-русски, со всеми интригами, скандалами и расследованиями (комментарии):
> http://vitus-wagner.livejournal.com/279779.html
Для фанбоев, по-английски, со ссылками и прочим — http://www.gergely.risko.hu/debian-dsa1571.en.html
А вот тот самый тред в рассылке openssl: http://marc.info/?l=openssl-dev&m=114652287210110&w=2
> What I currently see as best option is to actually comment out those 2 lines of code.
> But *I have no idea* what effect this really has on the RNG.
Ну так разберись. *Сначала*.
> The only effect I see is that the pool might receive less entropy.
Я был неправ, он догадывался.
> But on the other hand, I'm not even sure how much entropy some unitialised data has.
Но потестить, как именно комментирование повлияет на энтропию, по всей видимости, не хватило квалификации.
> If it helps *with debugging*, I'm in favor of removing them. (However the last time I checked, valgrind reported *thousands of bogus* error messages. Has that situation gotten better?)
Что как бы намекает, что вызов MD_Update следовало завернуть в лучшем случае в #infdef DEBUG … #endif, а не комментить.
Не говоря уже о том, что его никто не просил править варнинги valgrind. Не говоря о том, что патчам, фиксящим варнинги, место в первую очередь в апстриме, а не в debian.
>> Допустим, я знаю из DSA. Но black hats DSA не нужны — они прекрасно ориентируются в исходниках Openssh без помощи Security Team.
> Повторяю, и что? Теперь мейнтейнерам промежуточными результатами обмениваться между собой только передавая CD с кодом через банковские ечейки?
Я уже сказал, что. Думать головой.
> Опять вы перепутали ежа с ужом - и кто в этом виноват? Те, кто не хочет чтобы black hats смотрели на их прекрасный код - делают пропиетарное ПО.
Возможно, вы не в курсе, но это не сильно помогает, знаете ли.