Kritikus GnuTLS bugot javítottak - "rosszabb mint az Apple goto fail-ja"

Bug

A GnuTLS fejlesztők egy szűkszavú biztonsági figyelmeztetőt adtak ki a minap. Benne az szerepel, hogy a Red Hat-nek végzett kódaudit során biztonsági problémát találtak a GnuTLS-ben. A sebezhetőség - amely az összes GnuTLS verziót érinti és amely úgy fest, hogy 2005 óta jelen van - a tanúsítvány-ellenőrzési funkciót érinti. Egy megfelelően összeállított tanúsítvány képes lehet áthágni a tanúsítvány-érvényesítést végző ellenőrző funkciókat.

A Red Hat figyelmeztetője itt olvasható. Az Ars Technica cikke a "goto fail" "távoli rokonáról" elolvasható itt. A cikk szerint a hiba miatt alkalmazások százai sebezhetők a javított verzió telepítéséig.

( tr3w v | 2014. 03. 05., sze – 09:01 )

Gyönyörű...

Ha már egyszer intet használnak bool helyett illetve a hibakódok visszaadására is, akkor talán üdvös lenne, ha az konzisztens volna. Ezt azért már a '85-ös WIN16 API-ban sem sikerült elrontani, jó lenne nem visszafejlődni...

De a reakciókat olvasgatva úgy tűnik, hogy a GnuTLS minősíthetetlensége többek előtt ismert volt. Szóval az igazi kérdés nem az, hogy mit keres benne egy ilyen hiba, hanem az, hogy miért használta bárki.

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

2 előadást láttam csak az OpenSSL és kapcsolódó rendszerek ilyen irányú hibáiról, én, aki teljesen másik végén vagyok a programozási skálának, hatalmasakat néztem.

Tényleg azt nem értem, hogy ez mitől maradhatott így? Lustaság, vagy csak nem volt pénz egy project-re, ami legalább részben leváltaná-auditálná-...?