[Solira] OpenSSL e Debian (e derivate)
Mario
mario.tux a gmail.com
Mar 13 Maggio 2008 21:30:15 CEST
Il giorno mar, 13/05/2008 alle 21.24 +0200, Massimo Maiurana ha scritto:
> cioe', questi tizi sono partiti dal presupposto che l'analisi di
> valgrind fosse inoppugnabile!?!
> io non sono un coder, ma da profano immagino che il responso di
> _qualunque_ tool di analisi dovrebbe essere esaminato criticamente e
> con la dovuta cautela, e discusso di concerto con gli autori del
> codice originale, in particolare (ma non solo) quando si parla di
> codice particolarmente a rischio come quelli crittografici.
Ho letto il report: in realtà valgrind (che è un tool valido) riportava
il fatto che il codice di generazione della chiave usava un segmento di
memoria non inizializzato (all'apparenza). In realtà quel segmento
conteneva dei byte random presi da non so quale fonte di randomness...
la patch consisteva in un memset che azzerava il segmento prima di
usarlo... un genio!
> hanno fatto la minchiata :/
Già! :(
MArio
Maggiori informazioni sulla lista
Solira