[Solar-general] Fwd: [Socios-HispaLinux] Linux con error criptografico- comentarios antiDebian

Sab Mayo 17 05:57:58 CEST 2008

On Fri, May 16, 2008 at 6:25 PM, dario balozzi <dbalozzi en gmail.com> wrote:

> Es decir, Ulf le dice "estoy a favor de remover las asignaciones de
> memorias no-inicializadas puestas para favorecer la entropia ya que no
> ayudan mucho". En ningun lugar Ulf le dice, ok maestro, dale masa
> nomas, comenta todas las lineas de md_rand.c donde veas algo que dice
> "MD_Update(&m,buf,j);" y siga el baile siga el baile

bueh... pero le dice que no cree que vaya a traer problemas, y que
esta a favor de eliminarlo si ayuda para depurar... no creo que ese
sea un mensaje muy ambiguo, a menos que todo lo menos obvio que "ok
maestro" lo consideremos como ambiguo.

> yo no esperaria que los desarrolladores de openssl tengan que ocuparse
> de los parches[1] que deciden los mantenedores de paquetes de debian
> ... suficientes problemas tendran ellos con su propio proyecto ...

todo proyecto serio sabe que su software (casi) nunca llega
directamente a los usuarios, sino a traves de las distros.  y debian /
ubuntu no es una distro menor.  por eso es que la mayoria de los
proyectos o proveen paquetes directamente, o colaboran con el
mantenimiento de los oficiales.  ningun proyecto grande puede decir
"debian no me importa".

> es
> mas, es posible que varios de los desarrolladores de openssl se esten
> matando de risa por lo que paso

no deberian.  es un error que tambien se les paso a ellos, del que
fueron avisados previamente en su lista dev (y no vieron nada), y que
estuvo durante dos años en dos de las distros mas usadas del mundo (y
no vieron nada).  no hay manera de esquivar semejante responsabilidad.

> ...  quizas varios corran slackware y
> no debian ...

ah claro, en slackware estas cosas no pasan; es esa misma distro en la
que el "dueño" se enfermo, y no hubo parches de seguridad durante
meses?  nadie es perfecto...

-- 
Santiago Roza
santiagoroza en gmail.com