26 abr. 2014

#LibreSSL: por qué OpenSSL no tiene solución

Después del HeartBleedGate y los ríos de caracteres escritos sobre el caso, aquella manga de porfiados que son los desarrolladores de OpenBSD, con Theo de Raadt a la cabeza, dijeron "Vamos a hacer nuestro propio OpenSSL con juegos de azar y mujerzuelas". Pero como la financiación no les da para los juegos de azar y las mujerzuelas, se quedaron sólo con el fork de OpenSSL, al cual lo llamarán LibreSSL y que en un principio va a estar para OpenBSD 5.6 y, si todo sale bien, para otros sistemas POSIX, incluyendo por supuesto Linux.

En verdad Ted Unangst, desarrollador de OpenBSD menciona que Heartbleed fue sólo uno de los varios bugs catastróficos anuales de OpenSSL y que ese bug no era razón para armar un fork. El bug que en el que se enfoca Ted (el que acabaría provocando el fork) tiene que ver con los freelists internos de OpenSSL y de que ngnix no funciona sin esos freelists. Pero lo más grave fue la falta de respuesta por parte de OpenSSL puesto que ese bug ya tiene un parche propuesto y éstos no lo aplicaron aún. Ese parche está desde hace un año sin incluirse; OpenSSL, OpenBSD y Debian lo tienen parcheado ellos mismos. Si los desarrolladores de OpenSSL no aplicaban el parche, menos los iban a convencer que retiren su soporte a Visual C++ 5.0 (los programadores de C pueden echarse una risa con estos ejemplos).

Así que se deshicieron de cerca de 150 mil lineas de código y contando, sobretodo luego de quitar el soporte para VMS, un abominable sistema operativo cerrado para servidores que mantiene Hewlett Packard. Es como si se comparara a X con Wayland. Mientras, les dejo con el sitio OpenSSL Valhalla Rampage con la galería del horror que intentan corregir los de OpenBSD.

Fuente: Desde Linux

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!