Ошибка в Debian OpenSSL – “неслучайные числа”

Оказывается, в Debian OpenSSL на днях обнаружили суперсерьёзный дефект: генератор псевдослучайных последовательностей оказался легко предсказуем из-за того, что использовался малый набор возможных инициализирующих значений. Генератор, понятно, служит для генерации криптографических ключей. При этом ошибку, прожившую полтора года, в код внесли удалением двух строчек, раздражавших анализаторы кода. Цитирую Алексея Тутубалина:

Пользуясь случаем, в очередной раз вытираю ноги о миф, что открытость исходников – это путь к надежности. Баге – почти два года, система распространенная, сколько сейчас будет “взломов” (и без кавычек – тоже) – страшно подумать.

Комикс по теме:

(Источник комикса)

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 3

  • 1. 17th May 2008, 10:50 // Читатель alm написал:

    Вобще очень нравится портал ваш сайт.
    Но по поводу открытых и закрытых исходников бред,
    гарантия открытых исходников не в отсутвии ошибок,
    а в том, что их не делают преднамерено. Ведь если
    в закрытом продукте есть такие вещи они существуют
    там не два года, а целую вечность, либо пока разработчика,
    не ткнут в г лицом или пока он не захочет их убрать.

  • 2. 17th May 2008, 11:07 // Александр Венедюхин ответил:

    Но по поводу открытых и закрытых исходников бред,
    гарантия открытых исходников не в отсутвии ошибок,
    а в том, что их не делают преднамерено.

    Очень интересно. То есть, кто-то где-то расписался, что две строчки из кода OpenSSL удалили без всяких задних мыслей? Как вообще можно обсуждать мотивацию-то?

  • 3. 17th May 2008, 12:19 // Читатель alm написал:

    Как мне кажется Debian проект базирующийся на энтузиазме и как многие подобные проекты, и не претендует на эталон, тем более в безопасности и тд. Применительно к этому проекту, вобще нельзя применять такую терминологию, все оговорено у них на сайте в лицензионном соглашении. А вот ошибка в обработке TCP стека в ОС от МС которую закрыли тока в этом году это вопиюще. Жаль, что не увидим мы никогда надпись
    типа:
    // А это предназначено для наших любимых спецслужб и
    мы как истинные патриоты Америки не будем их убирать.

    Честно сказать, очень восхищаюсь проектом Debian и многими другими подобными – про цепь взломов, не особо
    верится некомпетенные Админы опасны везде и всегда…