[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator

ja hallo erstmal,..

Am Dienstag, 13. Mai 2008 schrieb Florian Weimer:
> * Wolf Wiegand:
> > Hm, und das hier (leere Ausgabe)?
> >
> > $ ./dowkd.pl  host p43k
> > $
>
> Ja, ich war da ein bißchen betriebsblind. Bei UNIX heißt "keine Ausgabe"
> normalerweise "alles OK". Bei einem derartigen Werkezeug ist das
> natürlich etwas Quark.

Jetzt wo wir gerade beim Thema sind.

Stimmt diese Aussage hier (http://www.links.org/?p=327) soweit?
»Two years ago, they “fixed” a “problem” in OpenSSL reported by valgrind[1] by 
removing any possibility of adding any entropy to OpenSSL’s pool of 
randomness[2]. «
weiterhin heißt es
»Firstly, vendors should not be fixing problems (or, really, anything) in open 
source packages by patching them locally - they should contribute their 
patches upstream to the package maintainers. Had Debian done this in this 
case, we (the OpenSSL Team) would have fallen about laughing, and once we had 
got our breath back, told them what a terrible idea this was. But no, it 
seems that every vendor wants to “add value” by getting in between the user 
of the software and its author.«

Falls das in der Tat so ist, denke ich, sollte man Debian "enhanced" Software 
nicht einsetzen, wenn man irgendwie Wert auf sauber implemtierte 
kryptographische Routinen legt...

Keep smiling
yanosz
Reply to: