Debe estar conectado para participar
Buscar en los foros:


 






Uso de Comodín:
*    coincide cualquier número de caracteres
%    coincide exactamente un caracter

"Desastre Debian"

No hay Etiquetas
Entrada
Nuevo miembro

Claus el ácido

entradas: 8

09:16 03/06/2008

1

Una buen explicación del problema:

http://www.hispasec.com/unaaldia/3492

¿Alguien tiene idea del impacto que puede haber tenido esto en el país? ¿Hay alguna forma de saber si un banco o algún otro sitio web puede haber trabajado con esta encriptación débil?
¿Comentarios?

Saludos

Hardcore Extreme Level

Ukyo

.

entradas: 4393

09:28 03/06/2008

2

En el ámbito nacional, dudo que haya tenido algún problema en particular… acá la presencia de linux no es taaan grande y los que tienen linux a nivel empresa usan RedHat o Novell (o CentOS "redhatsinelsombreritorojo&quotwink.

Si bien es algo grave, tampoco me parece echarle la culpa al pobre tipo que liquidó la línea en pos de la standarización y la facilidad de debug… a grandes razgos estoy de acuerdo bastante con lo que dice esta gente:

I've read some more about this and especially had a look at some of the source code, so I've completely revised this blog post.

There is no doubt that the Debian Maintainer who added this patch screwed up, seriously. But he's not the only one to blame:

* OpenSSL isn't valgrind-clean. It should be made, since valgrind is a very important debugging tool; the bad patch was introduced to make OpenSSL better in this respect due to the request by the users.
* The OpenSSL source code could be better documented in these places.
* There are two instances of this line in OpenSSL which can both generate the 'using uninitialized data' warning. One is safe to remove (it's supposed to fill the buffer with random data, and just uses the existing contents as additional source of randomness), the other is not (it's used to feed randomness coming from e.g. /dev/random into the pool).
* The Debian maintainer received the reply "if it helps with debugging, I'm in favour of removing them" by one of the current OpenSSL devs on the openssl-dev mailing list. Probably just referring to the 'safe one' of the two locations where this occurs, though?
* Nobody noticed the severity of this change for more than 2 years. We're all to blame.

http://blog.drinsama.de/erich/en/lin…-desaster.html