heartbleed - ceho vseho se vlastne tyka

Miroslav Lachman 000.fbsd at quip.cz
Wed Apr 23 16:14:27 CEST 2014


Dan Lukes wrote:
> On 04/23/14 11:03, Miroslav Lachman:
>> Heartbleed a jeste jedna provokacni poznamka od Theo de Raadta ohledne
>> OpenSSH na FreeBSD se resi v security mailinglistu a zajimave je i tohle:
>>
>> http://lists.freebsd.org/pipermail/freebsd-security/2014-April/007581.html

[...]

> Podle (tehle konkretni verze tohohle konkretniho) analyzatoru je v kodu
> 182 mist, ktere by mel prohlednout clovek.
>
> Ta informace rozhodne je zajimava, ale rika prave jen tohle.

Proto jsem tam taky dal i ten odkaz na cely thread, kde prave tohle 
nekdo zminuje. :)

I tak si ovsem na (ne)kvalitu kodu OpenSSL stezuji vyvojari uz roky (co 
tak vidim v ruznych mailinglistech).

Panika urcite neni na miste, ale nejaka lepsi kontrola kodu urcite ano. 
Kor u veci, ktera se stava v podstate "single point of failure" pro 
znacne mnozstvi online aplikaci dnesni doby.

Nasledky Heartbleedu jsou dobre patrne napriklad diky extension 
"Certificate Patrol" pro SeaMonkey / Firefox, ktera hlida zmeny v 
certifikatech. Ted je skoro u kazdeho HTTPS webu videt, ze vystavovali 
novy certifikat po 10.4.2014.

Mirek


More information about the Users-l mailing list