J’avoue ne pas avoir lu tous les commentaires précédents. Mais voilà : autant coder un truc comme ça c’est moche mais on peut comprendre que ça se produise (fatigue ou plus probablement “merge” foireux), autant valider un truc comme ça, c’est assez énorme. Surtout pour une lib sensible qui a en charge le TLS.
On aurait pu s’attendre à ce qu’une telle lib dispose d’un jeu de tests couvrant les cas nominaux mais aussi des cas d’erreur et des cas tordus, avec des certificats volontairement foireux.
1 commentaires
Une faille critique dans la gestion des connexions TLS/SSL fragilise Linux
05/03/2014
Le 05/03/2014 à 14h 01
J’avoue ne pas avoir lu tous les commentaires précédents. Mais voilà : autant coder un truc comme ça c’est moche mais on peut comprendre que ça se produise (fatigue ou plus probablement “merge” foireux), autant valider un truc comme ça, c’est assez énorme. Surtout pour une lib sensible qui a en charge le TLS.
On aurait pu s’attendre à ce qu’une telle lib dispose d’un jeu de tests couvrant les cas nominaux mais aussi des cas d’erreur et des cas tordus, avec des certificats volontairement foireux.
Bref, c’est assez flippant…