• # Discussion avec upstream sur la suppression des lignes incriminées

    Posté par . En réponse à la dépêche Découverte d'une faille de sécurité critique dans OpenSSL de Debian. Évalué à 1.

    Globalement, je suis plutôt d'accord avec ceux qui trouvent que le DD doit discuter avec upstream avant de faire une modification qui peut être très sensible... et c'est ce qu'il a fait !

    http://marc.info/?l=openssl-dev&m=114651085826293&w=(...)

    Le message a été posté sur openssl-dev, et contient à la fin, après avoir exposé ses découvertes avec Valgrind et les deux lignes incriminées (l'emphase est de moi) :
    What I currently see as best option is to actually comment out
    those 2 lines of code. But I have no idea what effect this
    really has on the RNG. The only effect I see is that the pool
    might receive less entropy.
    But on the other hand, I'm not even
    sure how much entropy some unitialised data has.

    What do you people think about removing those 2 lines of code?


    Donc, contrairement à ce que je peux entendre un peu partout, le développeur savait qu'il y avait un impact sur l'entropie du générateur. Mais bon, je vous laisse parcourir le fil de discussion, il n'y a eu que trois réponses qui sont également en faveur de la suppression (mise en commentaire ou compilation conditionnelle) des deux lignes.