> > si dupa cum se zicea mai sus, poti sa dormi linistit. > > patchul e back-ported de 2 luni > > Aha :-) > > Anyway, two things bother me: > > (1) Chiar daca asta insemana ca nu e vulnrabil remote, totusi un buffer > overlflow exista, nu? Desi nu e atat de grav, nici perspectiva unui DoS > care sa-mi tot crape copii lu' Apasu' nu ma prea incanta
Teoretic orice buffer e susceptibil de overflow. Programatorii lu' OpenSSL si-au luat masuri suplimentare si in cazul in care _se incearca_ un buffer overflow procesul e asasinat fara mila. Si ce daca? Asta se intimpla in fiecare secunda din viata unui Apache cit de cit solicitat. Cind sunt cereri face copii, cind nu mai sunt, ii "recicleaza". > (2) Nu ar fi normal din partea bajetilor de la RH, dat fiind vorba totusi > de o situatie majora, sa dea un mail in care sa spuna: "Fratzilor, > versiunea de openssl din ultimile update-uri nu e vulnerabila... "? Nicidecum. Ar creste zgomotul inutil. > Radu Grig --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
