LibreSSL: por qué OpenSSL no tiene solución

9
5377

arsebleedDespués del HeartBleedGate y los ríos de caracteres escritos sobre el caso, aquella manga de porfiados que son los desarrolladores de OpenBSD, con Theo de Raadt a la cabeza, dijeron “Vamos a hacer nuestro propio OpenSSL con juegos de azar y mujerzuelas”. Pero como la financiación no les da para los juegos de azar y las mujerzuelas, se quedaron sólo con el fork de OpenSSL, al cual lo llamarán LibreSSL y que en un principio va a estar para OpenBSD 5.6 y, si todo sale bien, para otros sistemas POSIX, incluyendo por supuesto Linux.

En verdad Ted Unangst, desarrollador de OpenBSD menciona que Heartbleed fue sólo uno de los varios bugs catastróficos anuales de OpenSSL y que ese bug no era razón para armar un fork. El bug que en el que se enfoca Ted (el que acabaría provocando el fork) tiene que ver con los freelists internos de OpenSSL y de que ngnix no funciona sin esos freelists. Pero lo más grave fue la falta de respuesta por parte de OpenSSL puesto que ese bug ya tiene un parche propuesto y éstos no lo aplicaron aún. Ese parche está desde hace un año sin incluirse; OpenSSL, OpenBSD y Debian lo tienen parcheado ellos mismos. Si los desarrolladores de OpenSSL no aplicaban el parche, menos los iban a convencer que retiren su soporte a Visual C++ 5.0 (los programadores de C pueden echarse una risa con estos ejemplos).


Así que se deshicieron de cerca de 150 mil lineas de código y contando, sobretodo luego de quitar el soporte para VMS, un abominable sistema operativo cerrado para servidores que mantiene Hewlett Packard. Es como si se comparara a X con Wayland.

Mientras, les dejo con el sitio OpenSSL Valhalla Rampage con la galería del horror que intentan corregir los de OpenBSD.

9 COMENTARIOS

  1. Gracias a estos forks, es que software como LibreOffice y el MariaDB han tenido su preferencia (en Slackware, han reemplazado el MySQL por el MariaDB, y en la mayor parte de las distros, han reemplazado todos su OpenOffice por LibreOffice).

    • Pero esos forks eran porque no querían tener el mismo destino que OpenSolaris a manos de nuevo “dueño”, fue un caso de imperante necesidad, y la mayoría apoyó rapidamente a la alternativa (que de hecho son sus creadores pero con otro nombre). Esto me huele más a que la gente de OpenBSD (Con Theo “Linux is for Losers” de Raadt a la cabeza) no esta conforme de que no incluyeran sus cambios. Por esa causa existen FreeBSD, NetBSD, y OpenBSD.

  2. No entiendo el tanto despotricar acerca de este fork, al fin y al cabo así es como funciona la comunidad open source, con forks y merges. Al revés, me parece loable que hayan decidido hacer de un paquete tan grande.

    Yo no soy experto en OpenSSL, pero según los tres puntos que menciona Diazepan, eso es “Soporte a un sistema completamente cerrado” (VMS), “Código anticuado” (Visual C++ 5.0)” y “Falta de soporte”, me parece que no podría haber sido de otra manera.

    Y sí, he dicho falta de soporte, que el susodicho parche se haya incluido hoy, no quita que estuviera más de un año en las listas de peticiones. El hecho de que OpenBSD, que es uno de los sistemas más estables que hay, no solo porque es OpenBSD, sino también porque es BSD, y Debian lo hayan incluido en sus repositorios indica que no era un parche experimental, sino estable.

  3. Por desgracia la Linux Foundation no lo ve asi y destinó dinero para OpenSSL, lo cual, desde mi optica es un error, deberian apoyar LibreSSL, algo que comienza casi se 0, arrancando los malos habitos de OpenSSL, como el ejemplo de malloc.

Dejar una respuesta