Inderdaad Ted Unangst, OpenBSD-ontwikkelaar noem dat Heartbleed was net een van verskeie jaarlikse OpenSSL katastrofiese foute en dat hierdie fout nie 'n rede was om te vurk nie. Die fout waarop Ted fokus (die een wat uiteindelik die vurk sou veroorsaak) het daarmee te make die interne OpenSSL-vryskutlyste en wat ngnix werk nie sonder daardie vryskutlys nie. Maar die ergste was die gebrek aan reaksie van OpenSSL aangesien hierdie fout reeds 'n voorgestelde pleister het en hulle dit nog nie toegepas het nie. Daardie pleister is vir 'n jaar nie ingesluit nie; OpenSSL, OpenBSD en Debian laat dit self regmaak. As die OpenSSL-ontwikkelaars nie die pleister toegepas het nie, sou hulle hulle minder oortuig om hul ondersteuning vir Visual C ++ 5.0 te onttrek (C-programmeerders kan lag. met hierdie voorbeelde).
Hulle het dus van ongeveer 150 duisend kode en tel ontslae geraak, veral nadat hulle die ondersteuning van VMS, 'n afskuwelike geslote bedryfstelsel vir bedieners wat Hewlett Packard onderhou, verwyder het. Dit is asof X met Wayland vergelyk word.
Intussen los ek u met die webwerf OpenSSL Valhalla Rampage met die galery van afgryse wat die OpenBSD's probeer regstel.
8 kommentaar, los joune
Danksy hierdie vurke het sagteware soos LibreOffice en MariaDB hul voorkeur gehad (in Slackware het hulle MySQL vervang deur MariaDB, en in die meeste distros het hulle almal hul OpenOffice vervang met LibreOffice).
Maar die vurke was omdat hulle nie dieselfde lot as OpenSolaris aan die hand van 'n nuwe "eienaar" wou hê nie; dit was 'n geval van noodsaaklike behoefte, en die meerderheid het vinnig die alternatief ondersteun (wat eintlik die skeppers is 'n ander naam). Dit klop my meer soos die mense van OpenBSD (met Raadt se Theo "Linux is for Losers" aan die stuur) nie gelukkig is dat hulle die veranderinge nie ingesluit het nie. Daarom is daar FreeBSD, NetBSD en OpenBSD.
Ek stem 100% saam met jou. Jy hoef nie so ekstrem te wees nie, of 'n fanboy nie.
Jammer, al waaraan ek kon dink was "Nikzon, vir aambeie."
Klaarblyklik het hulle vandag die stuk kontroversie ingesluit.
https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826
Soos Felipe, het Mafalda se vriend gesê:
'Die testament moet die enigste ding wees wat, wanneer dit ontlont word, geprik moet word.'
Ek verstaan nie die uitbarsting van hierdie vurk nie, dit is immers hoe die open source-gemeenskap werk met vurke en samesmeltings. Inteendeel, ek vind dit lofwaardig dat hulle besluit het om so 'n groot pakket te maak.
Ek is nie 'n kenner van OpenSSL nie, maar volgens die drie punte wat Diazepan noem, is dit 'Ondersteuning vir 'n volledig geslote stelsel' (VMS), 'Verouderde kode' (Visual C ++ 5.0) 'en' Gebrek aan ondersteuning ' , lyk my dit kon nie anders nie.
En ja, ek het gesê gebrek aan ondersteuning, dat die bogenoemde pleister vandag ingesluit is, dit beteken nie dat dit meer as 'n jaar op die versoeklyste was nie. Die feit dat OpenBSD, wat een van die stabielste stelsels is, nie net omdat dit OpenBSD is nie, maar ook omdat dit BSD is, en Debian dit in hul bewaarplekke opgeneem het, dui daarop dat dit nie 'n eksperimentele pleister was nie, maar stabiel.
Helaas sien die Linux Foundation dit nie so nie en het hulle geld toegewys vir OpenSSL, wat volgens my 'n fout is, hulle moet LibreSSL ondersteun, iets wat byna nul begin, wat die slegte gewoontes van OpenSSL begin, soos die voorbeeld van malloc.