Nach dem HeartBleedGate und den Flüssen von Charakteren, die über den Fall geschrieben wurden, sagte dieser hartnäckige Manga, der die OpenBSD-Entwickler sind, angeführt von Theo de Raadt: "Wir werden unsere eigene OpenSSL mit Glücksspielen und Schlampen erstellen." Aber wie Finanzierung gibt ihnen nicht Für Glücksspiele und Schlampen blieb ihnen nur die Gabel von OpenSSL, die sie nennen werden LibreSSL und das zunächst für OpenBSD 5.6 und, wenn alles gut geht, für andere POSIX-Systeme, natürlich auch für Linux.
In Wahrheit erwähnt OpenBSD-Entwickler Ted Unangst, dass Heartbleed war nur einer von mehreren jährlichen OpenSSL-Katastrophen und dass dieser Fehler kein Grund war, sich zu gabeln. Der Fehler, auf den sich Ted konzentriert (der die Gabel verursachen würde), hat damit zu tun die internen OpenSSL-Freelists und was ngnix funktioniert ohne diese Freelists nicht. Aber das Schlimmste war das Fehlen einer Antwort von OpenSSL da dieser Fehler bereits einen vorgeschlagenen Patch hat und sie ihn noch nicht angewendet haben. Dieser Patch ist für ein Jahr nicht enthalten;; OpenSSL, OpenBSD und Debian haben es selbst gepatcht. Wenn die OpenSSL-Entwickler den Patch nicht anwendeten, würden sie sie weniger davon überzeugen, ihre Unterstützung für Visual C ++ 5.0 zurückzuziehen (C-Programmierer können lachen mit diesen Beispielen).
So wurden etwa 150 Codezeilen entfernt und gezählt, insbesondere nachdem die Unterstützung für VMS, ein abscheulich geschlossenes Betriebssystem für Server, das Hewlett Packard unterhält, entfernt wurde. Es ist, als würde X mit Wayland verglichen.
In der Zwischenzeit verlasse ich Sie mit der Website OpenSSL Valhalla Rampage mit der Galerie des Grauens, die die OpenBSD zu korrigieren versuchen.
Dank dieser Gabeln hatten Software wie LibreOffice und MariaDB ihre Präferenz (in Slackware haben sie MySQL durch MariaDB ersetzt, und in den meisten Distributionen haben sie alle ihr OpenOffice durch LibreOffice ersetzt).
Aber diese Gabeln waren, weil sie nicht das gleiche Schicksal wie OpenSolaris durch einen neuen "Eigentümer" haben wollten, es war ein Fall von zwingender Notwendigkeit, und die Mehrheit unterstützte schnell die Alternative (die tatsächlich ihre Schöpfer sind, aber einen anderen Namen haben). Das schmeckt mir eher so, als wären die Leute bei OpenBSD (mit Theo "Linux ist für Verlierer" von Raadt an der Spitze) nicht froh, dass sie ihre Änderungen nicht aufgenommen haben. Aus diesem Grund gibt es FreeBSD, NetBSD und OpenBSD.
Ich stimme Ihnen zu 100% zu. Du musst nicht so extrem sein oder ein Fan.
Entschuldigung, alles, woran ich denken konnte, war "Nikzon, für Hämorrhoiden".
Anscheinend enthielten sie heute den Fleck der Kontroverse.
https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826
Als Felipe sagte Mafaldas Freund:
"Der Wille muss das einzige sein, was, wenn es entleert ist, gestochen werden muss."
Ich verstehe das Geschwätz über diese Gabelung nicht, schließlich funktioniert die Open-Source-Community so, mit Gabeln und Zusammenführungen. Im Gegenteil, ich finde es lobenswert, dass sie beschlossen haben, ein so großes Paket zu machen.
Ich bin kein OpenSSL-Experte, aber nach den drei von Diazepan genannten Punkten "Unterstützung für ein vollständig geschlossenes System" (VMS), "Veralteter Code" (Visual C ++ 5.0) "und" Mangel an Unterstützung "scheint es mir es hätte nicht anders sein können.
Und ja, ich sagte mangelnde Unterstützung, dass der oben genannte Patch heute enthalten war, bedeutet nicht, dass es mehr als ein Jahr auf den Anforderungslisten war. Die Tatsache, dass OpenBSD, eines der stabilsten Systeme auf dem Markt, nicht nur weil es OpenBSD ist, sondern auch weil es BSD ist und Debian es in ihre Repositories aufgenommen hat, zeigt, dass es kein experimenteller Patch war, sondern stabil.
Leider sieht die Linux Foundation das nicht so und hat Geld für OpenSSL bereitgestellt, was aus meiner Sicht ein Fehler ist. Sie sollten LibreSSL unterstützen, etwas, das fast bei Null beginnt und die schlechten Gewohnheiten von OpenSSL wie das Beispiel von malloc auslöst.