RSS

 Seguime por RSS

8 jun. 2014

Nuevo fallo de seguridad en OpenSSL | Que van a esperar para usar LibreSSL? un milagro?

Asi es, de nuevo... y no se cansan, otro fallo fue descubierto el dia 5 de Junio en OpenSSL, y no se cansan no?, lo peor... es que este esta desde su creacion, hace 16 años y NADIE LO VIO?.
Ya tengo las bolas cansadas, nadie lo vio en 16 años?, vamos, que la CIA, NSA, FBI y muchos otros lo estuvieron usando seguro, y estos monos que no revisan nada lo daban por bueno.

No se que mierda esperan para aportar a libreSSL, de OpenBSD, no se dan cuenta que reparar es mas trabajoso que comenzar de cero?.

En fin, les dejo el enlace, por suerte ayer tenia actualizaciones de OpenSSL en CentOS, ahora veo porque:

https://www.openssl.org/news/secadv_20140605.txt
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

2 comentarios:

  1. Christian Adjuntas8 jun. 2014 12:48:00

    De hecho desde que salio la bifurcación había leído en desdelinux (http://blog.desdelinux.net/libressl-porque-openssl-es-irreparable-segun-openbsd/) que la razón de la bifurcación fue la irresponsabilidad e indiferencia que mostraban los desarrolladores de OpenSSL. Por ejemplo, que ya existía un parche para solucionar un bug sobre los freelists y ngnix y ellos no lo aplicaron. Entonces el problema no solo es la financiación, sino también la actitud y compromiso que tienen los desarrolladores. No se si es cierto o no, pero si es así, ¡imagina la confianza que se ha tenido sobre OpenSSL tantos años con personas que no les interesaba mucho el cuidado de su código!

    ResponderEliminar
  2. No es solo dinero, eso no lo cree nadie, algo que tiene 16 años, y es una falla de inicio, es que arrancaron mal, o sea, mas alla de dejados o no, no los veo competentes si arrancaron mal y luego nunca mas revisaron su codigo para mejorarlo.

    Se que en OpenBSD, y FreeBSD, no solo prima la seguridad, sobre todo en OpenBSD; sino que prima la CALIDAD de codigo por sobre la cantidad o funcionalidad, por algo BSD es mas eficiente que Linux, en todo sentido, uso de CPU, RAM, latencia de red, etc.

    No veo la hora de que asi como paso con OpenOffice, digan, al carajo, usemos libressl, lo mismo que paso con mariadb, o sino que redhat y canonical que tienen dinero envien a su gente a openssl a laburar y no enviar dinero, que me parece que no radica en solamente dinero el problema

    ResponderEliminar

Ingresa tu comentario