アカウント名:
パスワード:
> この脆弱性についてAyer氏は最悪のミスだと考えているようだが、OpenBSDのTheo de Raadt氏やBob Beck氏は現実のプログラムでこのような処理が行われることはないとし、問題が誇張され過ぎていると述べているとのことだ。
OpenSSLをさんざんdisっておいてこれでは説得力なさすぎだろ……。CVE-2014-0224も結局OpenSSLに修正コミットが入るまで見つけられなかったようだし。やっぱり開発リソースを無駄に分散させただけになりそうだ。
> OpenSSLをさんざんdisっておいてこれでは
disってましたっけ?猿が書いたんだろとは言ってたけど、CVEを出すとは恥ずかしいという非難はしてないと私は思ってましたが。
脆弱性のあるコードをリリースしたのは良くはないけど指摘する人がいて、それをすぐに修正する人がいて、オープンソースってこういうところがいいんだよなって感じるニュースだと感じたけど、これをもってLibreSSLは大丈夫か?という記事や論調が意外なほど多くて驚いてます。
forkしたときは乱数のシードを再設定するというのは、かなり基本的なノウハウだからじゃないでしょうか。今回はユーザがRAND_pollを呼び出してもエラーにもならず、黙って無視されていたようなので、なおさらよくないですね。ぱっと見「恥ずかしい」バグに思われても仕方ないかも。
#実際のリスクがどの程度なのかはしらん。
有名なバッドノウハウで、しかもセキュリティホールの原因になりうるならば根本をつぶすべきと考えたのでは。LibreSSL にて、PID変更を検知して再シードするって書いてあるし。
実はこれを「恥ずかしいバグ」って言っているほうが、セキュリティに対する感覚のなさを暴露しているのかも……よ?
# theoにはついていけないZE! ってだけかも
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
かなり恥ずかしい (スコア:1)
> この脆弱性についてAyer氏は最悪のミスだと考えているようだが、OpenBSDのTheo de Raadt氏やBob Beck氏は現実のプログラムでこのような処理が行われることはないとし、問題が誇張され過ぎていると述べているとのことだ。
OpenSSLをさんざんdisっておいてこれでは説得力なさすぎだろ……。CVE-2014-0224も結局OpenSSLに修正コミットが入るまで見つけられなかったようだし。やっぱり開発リソースを無駄に分散させただけになりそうだ。
Re: (スコア:0)
> OpenSSLをさんざんdisっておいてこれでは
disってましたっけ?
猿が書いたんだろとは言ってたけど、
CVEを出すとは恥ずかしいという非難はしてないと私は思ってましたが。
脆弱性のあるコードをリリースしたのは良くはないけど
指摘する人がいて、それをすぐに修正する人がいて、
オープンソースってこういうところがいいんだよなって
感じるニュースだと感じたけど、これをもってLibreSSLは大丈夫か?
という記事や論調が意外なほど多くて驚いてます。
Re:かなり恥ずかしい (スコア:0)
forkしたときは乱数のシードを再設定するというのは、かなり基本的なノウハウだからじゃないでしょうか。
今回はユーザがRAND_pollを呼び出してもエラーにもならず、黙って無視されていたようなので、なおさらよくないですね。
ぱっと見「恥ずかしい」バグに思われても仕方ないかも。
#実際のリスクがどの程度なのかはしらん。
Re: (スコア:0)
有名なバッドノウハウで、しかもセキュリティホールの原因になりうるならば根本をつぶすべきと考えたのでは。
LibreSSL にて、PID変更を検知して再シードするって書いてあるし。
実はこれを「恥ずかしいバグ」って言っているほうが、セキュリティに対する感覚のなさを暴露しているのかも……よ?
# theoにはついていけないZE! ってだけかも