SMPFR

http://www.phoronix.com/scan.php?page=n ... &px=ODkxMw

http://permalink.gmane.org/gmane.os.openbsd.tech/22557

Sachant que la pile IPsec d'OpenBSD est à la base de quasiment toutes les piles existantes d'après ce que j'ai pu lire par-ci par-là

Si c'est vrai, je suis totalement dégouté

Et personne n'aurait repéré un backdoor dans les sources :/

moi je dit intox

waw
je pense pas que ça soit une intox

Et personne n'aurait repéré un backdoor dans les sources :/

moi je dit intox

D'après ce que j'ai pu lire, c'est pas du tout de la programmation de mon niveau , le truc consisterait à "lâcher" la clé dans le flux pour qu'elle soit interceptable pendant le transit entre les deux machines (donc chez le FAI par exemple). Et vu que c'est quasiment que des maths, je suppose que c'est pas facile de voir qu'à un moment on met des bits qui sont pas forcéments cryptés ou qui sont repérables

C'est ce que j'ai pu comprendre.


Néanmoins, les faits ne sont toujours pas avérés et c'est peut être des conneries, faut attendre ...

. . .

[center][/center]

Et personne n'aurait repéré un backdoor dans les sources :/
moi je dit intox

Genre ya beaucoup de gens qui revoient le code C'est une légende urbaine l'Opensource

OpenSSL n'est pas développé par OpenBSD

La faille vient d'une option de compilation appelée "Heartbeat" qui n'est pas obligatoire et qui assez récente. Les bugs, ça arrive.

Je parlais de l'opensource en général mais ça revient au même. Quand tu regardes la faille d'openssl sur debian en 2008, qui est restée 2 ans ouverte, t'as compris que les gros barbus qui passent leur journée à revoir du code sont pas si nombreux

Puis on sait que les demandes de la NSA sont réelles
http://www.numerama.com/magazine/27033- ... x-maj.html

Je parlais de l'opensource en général mais ça revient au même. Quand tu regardes la faille d'openssl sur debian en 2008, qui est restée 2 ans ouverte, t'as compris que les gros barbus qui passent leur journée à revoir du code sont pas si nombreux

Puis on sait que les demandes de la NSA sont réelles
http://www.numerama.com/magazine/27033- ... x-maj.html

J'ai envie de dire qu'y a de la merde partout dans les programmes après, personne est sans faille. L'utilisation du langage C est à l'origine de la plupart des problèmes de sécurité qu'on ne retrouverai pas dans des langages fonctionnels dont le fonctionnement correct peut être prouvé de manière mathématique.

OpenSSL va être incluse dans OpenBSD dans la "base" et sera donc une sorte de fork.
https://lobste.rs/s/3utipo/openbsd_has_ ... of_openssl

Ils font déjà ça pour Perl et Apache (toujours en 1.3 du coup en "base" même si la 2.4 est dispo dans les ports, qui va être d'ailleurs remplacé par Nginx toujours en version openbsd)

même ibm met à jour les firmware des machines
heartbleed + ecdsa

HIPER/Pervasive: A security problem was fixed in the OpenSSL Montgomery ladder implementation for the ECDSA (Elliptic Curve Digital Signature Algorithm) to protect sensitive information from being obtained with a flush and reload cache side-channel attack to recover ECDSA nonces from the service processor. The Common Vulnerabilities and Exposures issue number is CVE-2014-0076. The stolen ECDSA nonces could be used to decrypt the SSL sessions and compromise the Hardware Management Console (HMC) access password to the service processor. Therefore, the HMC access password for the managed system should be changed after applying this fix.

HIPER/Pervasive: A security problem was fixed in the OpenSSL Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) to not allow Heartbeat Extension packets to trigger a buffer over-read to steal private keys for the encrypted sessions on the service processor. The Common Vulnerabilities and Exposures issue number is CVE-2014-0160 and it is also known as the heartbleed vulnerability. The stolen private keys could be used to decrypt the SSL sessions and and compromise the Hardware Management Console (HMC) access password to the service processor. Therefore, the HMC access password for the managed system should be changed after applying this fix.

OpenSSL a été officiellement forké sous le nom LibreSSL.
Pour bien rigoler : http://opensslrampage.org/

Apparemment OpenSSL c'est un gros tas de hacks tout moisis