Kritikus GnuTLS bugot javítottak - "rosszabb mint az Apple goto fail-ja"

 ( trey | 2014. március 5., szerda - 9:22 )

A GnuTLS fejlesztők egy szűkszavú biztonsági figyelmeztetőt adtak ki a minap. Benne az szerepel, hogy a Red Hat-nek végzett kódaudit során biztonsági problémát találtak a GnuTLS-ben. A sebezhetőség - amely az összes GnuTLS verziót érinti és amely úgy fest, hogy 2005 óta jelen van - a tanúsítvány-ellenőrzési funkciót érinti. Egy megfelelően összeállított tanúsítvány képes lehet áthágni a tanúsítvány-érvényesítést végző ellenőrző funkciókat.

A Red Hat figyelmeztetője itt olvasható. Az Ars Technica cikke a "goto fail" "távoli rokonáról" elolvasható itt. A cikk szerint a hiba miatt alkalmazások százai sebezhetők a javított verzió telepítéséig.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

(Ezért most nem regisztrálnék a linkelt oldalra, de a result = 0 nem új sor...)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Gyönyörű...

Ha már egyszer intet használnak bool helyett illetve a hibakódok visszaadására is, akkor talán üdvös lenne, ha az konzisztens volna. Ezt azért már a '85-ös WIN16 API-ban sem sikerült elrontani, jó lenne nem visszafejlődni...

De a reakciókat olvasgatva úgy tűnik, hogy a GnuTLS minősíthetetlensége többek előtt ismert volt. Szóval az igazi kérdés nem az, hogy mit keres benne egy ilyen hiba, hanem az, hogy miért használta bárki.

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Az OpenSSL-ben jobban el vannak rejtve a hibák, meg úgy egyébként minden más is :)

--

2 előadást láttam csak az OpenSSL és kapcsolódó rendszerek ilyen irányú hibáiról, én, aki teljesen másik végén vagyok a programozási skálának, hatalmasakat néztem.

Tényleg azt nem értem, hogy ez mitől maradhatott így? Lustaság, vagy csak nem volt pénz egy project-re, ami legalább részben leváltaná-auditálná-...?

nem ertem. ha tudnak rola miert nem javitjak?
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

manyeyeball delivers

unalmas
--
♙♘♗♖♕♔

Amíg vannak olyanok, akik a manyeyeball teóriát bekajálják, addig ellenzői is lesznek. Ilyen az élet. :)

Valahogy sehol nem tudtam felfedezni a cikkben ezt a teóriát. Te igen?
--
♙♘♗♖♕♔

Nem ebben a cikkben. Úgy általában.

Óvodás dolognak tűnik.
--
♙♘♗♖♕♔

pedig 9 éves

honnan gondolod?