Aparte de tener que regenerar claves ssh y certificados, hay lecciones que aprender, según Russ Cox de este tipo de fallos, en especial de la cascada de que ha llevado a este problema. Russ los resume de la siguiente manera:
- Los códigos excesivamente inteligentes son difíciles de mantener y si no se entiende la magia negra que hay detrás ,una modificación puede tener consecuencias catastróficas (en este caso, es usar memoria no inicializada para obtener entropía para el PNRG)
- Falta de organización del código OpenSSL.
- La comunicación entre el mantenedor de Debian y el equipo de OpenSSL no ha sido de lo más clara posible (en especial por no aportar bastante información de contexto sobre la advertencia de la herramienta usada para detectar la memoria no inicializada). Pueden verse alguno de los mails en el post de Russ.
- Mejor código claro y comprensible, que facilite la revisión por terceros y que no utilice magia negra para implementar según que optimización o funcionalidad.
- En las listas de correos, hay que exponer claramente los problemas que se detectan, a ser posible explicando las diferencias en el código fuente.
No hay comentarios:
Publicar un comentario