• [^] # Re: Go with C

    Posté par . En réponse au journal Interface graphique en Go!. Évalué à 7.

    Potentiellement est utilisé de façon assez créative dans cette phrase.

    Aucune CVE n'ont été ouvertes pour les patchs de OpenSSL à ce que je sache.

    Pour OpenSSL, je ne me souviens plus, mais il me semble que ça a existé. Par contre, pour OpenSSH, c'est certain. Un développeur Debian a patché la génération pseudo-aléatoire servant, entre autre, à la génération de clef car il pensait qu'une ligne ne servait à rien, ce qui a créé un biais dans la génération pseudo-aléatoire. Le résultat c'est qu'il a fallu régénérer toutes les clefs crées sur Debian pendant la période de 5 ans entre l'introduction de la faille et sa découverte... C'est depuis cette histoire que OpenSSH accepte des certificats X.509 (et donc la révocation de clef) en plus de la gestion à la mimine qui était la seule solution à l'époque.