O poder de um: Principais razões para escolher o HP BladeSystem
OpenBSD fundador Theo De Raadt disse mantenedores OpenSSL parecia não intencionalmente informou sobre vulnerabilidades perigosas encontradas na plataforma e remendado hoje.
A disputa aparente decorre de Abril romper LibreSSL que foi bifurcada após desenvolvedores encontrou a base de código OpenSSL a ser inaceitavelmente inseguro na esteira da vulnerabilidade Heartbleed.
LibreSSL ainda conter vulnerabilidades OpenSSL, como o mais recente DTLS inválido bug fragmentação (CVE-2014-0195) e dependem de ponta primeiros offs para garantir que ele poderia construir um patch para o dia da divulgação pública.
Esse bug foi um dos seis afetar OpenSSL que permitiu escuta em conexões criptografadas e a implantação de malware em sistemas vulneráveis.
Divulgação a LibreSSL não aconteceu levando De Raadt para reivindicá-lo fazia parte de deliberada pedra paredes.
"A maioria dos outros fornecedores de sistemas operacionais têm manchas disponíveis, mas que
é porque eles foram (obviamente) dado um heads-up para prepará-los sobre
nos últimos dias ", escreveu De Raadt em uma lista de discussão pós .
"Infelizmente eu me vejo acreditando relatos de que o povo do OpenSSL feitas intencionalmente outros para quarentena (do erro), e saiu do seu caminho para garantir que esta informação não viria para o OpenBSD e LibreSSL.
"Não, eu já disse isso."
Do ponto de vista ético, os desenvolvedores não precisam informar os que dependem de código vulnerável de todos os erros encontrados antes da divulgação pública, mas devem informar todos os jogadores importantes se eles escolheram para fazer isso e não "especificamente excluir uma parte da comunidade", disse ele .
Suas declarações foram recebidas com alguma crítica centrada na decisão original de desembolsar OpenSSL em vez de trabalhar com os desenvolvedores para melhorar a sua segurança.
Na época , De Raadt levou critism abundante de verificações de segurança OpenSSL aparentes devido à insuficiência de recursos ainda mais por afirmar a plataforma foi " não desenvolvido por uma equipe responsável . "
O projeto teve como objetivo LibreSSL reescrever substaintially a base de código OpenSSL. Milhares de linhas de código "desnecessários" foram apagados, enquanto arquivos de origem individuais foram reescritos na forma normal do kernel utilizado pelos sistemas operacionais BSD.
Foi planejado para incorporação BSD versão 5.6 com lançamento previsto para novembro. ®
Nenhum comentário:
Postar um comentário