Ещё раз про DSA-1571-1

[kastaneda]

Ben Laurie, один из разработчиков OpenSSL, пишет про эту уязвимость в своём блоге:

… Two years ago, they “fixed” a “problem” in OpenSSL reported by valgrind by removing any possibility of adding any entropy to OpenSSL’s pool of randomness. The result of this is that for the last two years (from Debian’s “Etch” release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys.

What can we learn from this? Firstly, vendors should not be fixing problems (or, really, anything) in open source packages by patching them locally - they should contribute their patches upstream to the package maintainers. Had Debian done this in this case, we (the OpenSSL Team) would have fallen about laughing, and once we had got our breath back, told them what a terrible idea this was. But no, it seems that every vendor wants to “add value” by getting in between the user of the software and its author.

Краткий пересказ на русском: нехорошие maintainer'ы от нефиг делать (чтобы valgrind заткнулся и перестал предупреждать об использовании неинициализированной переменной) немного пропатчили код, наломав при этом дров (ибо не ведали, что творят). И, само собой, они не сказали об этом мудрым разработчикам OpenSSL — а уж они бы такого бардака не допустили бы.

Но самое интересное — в комментариях. Этому разработчику говорят — maintainer'ы вообще-то про это писали (см. комментарий #27). В рассылку openssl-dev. И архивы сохранились.

Funny thing is, it *was* reported to openssl-dev:
http://marc.info/?l=openssl-dev&m=114651085826293&w=2

I’m not seeing a reply from you there or a negative reply whatsoever.

Но разработчик говорит, что рассылка openssl-dev — это совсем не то место, где следует обсуждать такие вопросы. И вообще, у него нет времени читать эту рассылку. (Комментарий #43).

It seems that the Debian maintainer did, indeed, mention his plan on openssl-dev. Openssl-dev is a list for people developing OpenSSL based software, not a list for discussing the development of OpenSSL itself. I don’t have the bandwidth to read it myself. If you want to communicate with the OpenSSL developers you need to use openssl-team@openssl.org. At no time, as people have suggested, was a patch offered to OpenSSL, and the discussion on openssl-dev was misleading.

Чисто без палева. Смотрим на http://www.openssl.org/support/ и видим описание рассылки openssl-dev: «Discussions on development of the OpenSSL library. Not for application development questions!». Мораль сей басни придумайте сами.

Comments

[volgar.livejournal.com]

Ссылка на Бэна не валидная.

А он не пишет, куда тогда надо было писать про подобные вещи?

[kastaneda]

Fixed. Говорит, что писать надо было openssl-team@openssl.org.

[kiwibirdru.livejournal.com]

Ссылка про уязвимость пустая

[kastaneda]

Fixed.

[fester-ua.livejournal.com]

Классическая ситуация "я не виноват, это вы плохие!".

[city-idiot.livejournal.com]

в любом случае если ты признаёшься, что "I have no idea what effect this
really has on the RNG", не стоит этого трогать до тех пор пока не получишь подверждения от разработчика или по крайней мере не разберёшься во всём досконально. Да и в любом случае виноват Kurt, ибо если он сделал изменения, то обязан за них отвечать ... единственный другой вариант присылать патч-предложение и пусть тогда ответственность на себя берёт тот кто его аплаит.

[kastaneda]

Я лучше воздержусь от комментариев, потому как положительных героев в этой истории я не вижу вовсе.
Да и вообще, моя вера в человечество и в здравый смысл давно испарилась.

[sestra-kerry.livejournal.com]

люди скорее сделают хуже себе и другим, чем наберутся смелости не действовать по принципу "папа всегда прав". сколько угодно примеров в других сферах. я так понимаю, что никаких предложений относительно того, где можно обсуждать такие вопросы, так и не было вынесено.

то, что люди редко руководствуются здравым смыслом в своих действиях, а предпочитают сначала выплеснуть эмоции, ни для кого не открытие. Один недавно выдал "most humans are stupid, sexually motivated animals". Но это не все - из этого делается вывод о вреде эмоций как таковых, то есть кому-то кажется более простым выходом вообще удавить в себе эту способность. По ходу дела и в других тоже, и наверное в первую очередь в других, потому что это проще :)

выходит, что самое простое и очевидное решение "думать там, где надо, эмоционировать там, где надо" оказывается менее всего выполнимым.

[sestra-kerry.livejournal.com]

прочла внимательнее. обе стороны отличились "умом и сообразительностью", что в общем-то не отменяет сказанного

[grey-olli.livejournal.com]

/me ностальгирует по древним временам, когда рядом с утверждением о баге валялся poc как минимум.. А ща.. вот фиксят непонятные дяди непонятную уязвимость и уровень абстракции таков, что я понятия не имею из всей этой дискуссии можно ли это хоть как то использовать против уязвимой системы или же это уязвимость из разряда сферический конь в вакууме. =)