LibreSSL: zergatik ez du OpenSSLk irtenbiderik

ardo odoldu HeartBleedGate eta kasuaren inguruan idatzitako pertsonaien ibaien ondoren, OpenBSD garatzaile diren manga burugogor hark, Theo de Raadtek zuzendutakoak, esan zuen: "OpenSSL propioa egingo dugu zorizko jokoekin eta slutsekin". Baina nola finantzaketak ez die ematen joko eta slutsetarako, deituko duten OpenSSL sardexka besterik ez zitzaien geratzen LibreSSL eta hasiera batean OpenBSD 5.6rako izango dela eta, dena ondo badoa, POSIX beste sistema batzuetarako ere, Linux barne.

Egia esan OpenBSD garatzaileak Ted Unangst-ek Heartbleed zela aipatu zuen urtero OpenSSL hondamendi akatsetako bat besterik ez eta akats hori ez zela arrazoi. Ted-ek bideratzen duen akatsak (sardexka eragiten amaituko lukeena) zerikusia du barne OpenSSL freelists eta zer ngnix-ek ez du funtzionatzen freelist horiek gabe. Baina okerrena izan zen OpenSSLren erantzunik eza akats honek dagoeneko proposatutako adabaki bat du eta oraindik ez dute aplikatu. Adabaki hori da urtebetez sartu gabe; OpenSSL, OpenBSD eta Debian-ek beraiek adabaki dute. OpenSSL garatzaileek adabakia aplikatu ez badute, gutxiago konbentzituko dituzte Visual C ++ 5.0rako laguntza kentzeko (C programatzaileek barre egin dezakete adibide hauekin).

Beraz, 150 mila kode eta zenbaketa lerro inguru kendu zituzten, batez ere VMSrako laguntza kendu ondoren, Hewlett Packard-ek mantentzen duen zerbitzarientzako sistema eragile itxi gaiztoa. X Wayland-ekin alderatuta balego bezala da.

Bitartean, gunea uzten dizuet OpenSSL Valhalla Rampage OpenBSD-k zuzentzen saiatzen diren beldurrezko galeriarekin.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

8 iruzkin, utzi zurea

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

  1.   eliotime3000 esan zuen

    Sardexka horiei esker, LibreOffice eta MariaDB bezalako softwareek lehentasuna izan dute (Slackware-n MySQL ordezkatu dute MariaDB-rekin eta distribuzio gehienetan OpenOffice-ek LibreOffice-rekin ordezkatu dute).

    1.    Mario esan zuen

      Sardexka horiek "jabe" berri baten eskutik OpenSolarisen patu bera izan nahi ez zutelako ziren, ezinbesteko beharra zen kasua, eta gehiengoak alternatiba bizkor onartzen zuen (egileak bere sortzaileak dira baina beste izen bat). Honek gehiago gustatzen zait OpenBSD-ko jendea bezalakoa (Theo-rekin "Linux da galtzaileentzat" Raadt-en zuzendaritzan) ez daude pozik beren aldaketak sartu ez dituztelako. Hori dela eta, FreeBSD, NetBSD eta OpenBSD daude.

    2.    Lucas jakin bat esan zuen

      Zurekin ados nago% 100ean. Ez duzu hain muturra izan behar, ezta zalea ere.

  2.   DaCooks esan zuen

    Barkatu, "Nikzon, hemorroideak" baino ez zitzaidan bururatu.

  3.   drako esan zuen

    Dirudienez, gaur eztabaidaren adabakia sartu dute.
    https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826

    1.    Diazepan esan zuen

      Felipek, Mafaldaren lagunak esan zuen bezala:
      "Borondateak izan behar du, deflazionatuta dagoenean, pikatu behar den gauza bakarra".

  4.   EzBrooklynetik esan zuen

    Ez dut ulertzen sardexka honen inguruko zalaparta, azken finean, honela funtzionatzen du kode irekiko komunitateak, sardexkekin eta bateratzeekin. Aitzitik, txalogarria iruditzen zait hain pakete handia egitea erabaki zutela.

    Ez naiz OpenSSLn aditua, baina Diazepanek aipatutako hiru puntuen arabera, hau da, "Sistema guztiz itxi baterako laguntza" (VMS), "Kode zaharra" (Visual C ++ 5.0) "eta" Laguntza eza " , iruditzen zait ezin zela bestela izan.

    Eta bai, laguntza eza esan nuen, aipatutako adabakia gaur sartuta zegoela, ez du esan nahi urtebete baino gehiago egon zenik eskaera zerrendetan. OpenBSD sisteman egonkorrenetako bat denak, OpenBSD delako ez ezik, BSD delako ere eta Debianek beren biltegietan sartu dutela adierazten du ez zela adabaki esperimentala, egonkorra baizik.

  5.   SynFlag esan zuen

    Zoritxarrez Linux Fundazioak ez du horrela ikusten eta OpenSSL-rako dirua bideratu du. Nire ikuspuntutik akats bat da, LibreSSL onartzen dute, ia zero hasten den zerbait, OpenSSL-ren ohitura txarrak abiaraziz malloc.