heartbleed - ceho vseho se vlastne tyka
Miroslav Lachman
000.fbsd at quip.cz
Wed Apr 23 16:14:27 CEST 2014
Dan Lukes wrote:
> On 04/23/14 11:03, Miroslav Lachman:
>> Heartbleed a jeste jedna provokacni poznamka od Theo de Raadta ohledne
>> OpenSSH na FreeBSD se resi v security mailinglistu a zajimave je i tohle:
>>
>> http://lists.freebsd.org/pipermail/freebsd-security/2014-April/007581.html
[...]
> Podle (tehle konkretni verze tohohle konkretniho) analyzatoru je v kodu
> 182 mist, ktere by mel prohlednout clovek.
>
> Ta informace rozhodne je zajimava, ale rika prave jen tohle.
Proto jsem tam taky dal i ten odkaz na cely thread, kde prave tohle
nekdo zminuje. :)
I tak si ovsem na (ne)kvalitu kodu OpenSSL stezuji vyvojari uz roky (co
tak vidim v ruznych mailinglistech).
Panika urcite neni na miste, ale nejaka lepsi kontrola kodu urcite ano.
Kor u veci, ktera se stava v podstate "single point of failure" pro
znacne mnozstvi online aplikaci dnesni doby.
Nasledky Heartbleedu jsou dobre patrne napriklad diky extension
"Certificate Patrol" pro SeaMonkey / Firefox, ktera hlida zmeny v
certifikatech. Ted je skoro u kazdeho HTTPS webu videt, ze vystavovali
novy certifikat po 10.4.2014.
Mirek
More information about the Users-l
mailing list