Re: [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator
ja hallo erstmal,..
Am Dienstag, 13. Mai 2008 schrieb Florian Weimer:
> * Wolf Wiegand:
> > Hm, und das hier (leere Ausgabe)?
> >
> > $ ./dowkd.pl host p43k
> > $
>
> Ja, ich war da ein bißchen betriebsblind. Bei UNIX heißt "keine Ausgabe"
> normalerweise "alles OK". Bei einem derartigen Werkezeug ist das
> natürlich etwas Quark.
Jetzt wo wir gerade beim Thema sind.
Stimmt diese Aussage hier (http://www.links.org/?p=327) soweit?
»Two years ago, they “fixed” a “problem” in OpenSSL reported by valgrind[1] by
removing any possibility of adding any entropy to OpenSSL’s pool of
randomness[2]. «
weiterhin heißt es
»Firstly, vendors should not be fixing problems (or, really, anything) in open
source packages by patching them locally - they should contribute their
patches upstream to the package maintainers. Had Debian done this in this
case, we (the OpenSSL Team) would have fallen about laughing, and once we had
got our breath back, told them what a terrible idea this was. But no, it
seems that every vendor wants to “add value” by getting in between the user
of the software and its author.«
Falls das in der Tat so ist, denke ich, sollte man Debian "enhanced" Software
nicht einsetzen, wenn man irgendwie Wert auf sauber implemtierte
kryptographische Routinen legt...
Keep smiling
yanosz
Reply to: