Bezpieczeństwo

"Security people are often the black-and-white kind of people that I
can't stand. I think the OpenBSD crowd is a bunch of masturbating
monkeys, in that they make such a big deal about concentrating on
security to the point where they pretty much admit that nothing else
matters to them."

Bo przecież wszyscy hakerzy wiedzą, że najważniejsze jest żeby działał Compiz.
--
Sprawdź, czy twój kot jest POLAKIEM!

Mateusz Ludwin mateuszl [at] gmail [dot] com

A takim duperelami jak generowanie kluczy SSL, to przecież nikt
się nie będzie przejmował...

bart
--
"Security issues are not discussed in this memo, but then again, no
other issues of any importance are discussed in this memo either." [RFC1438]
http://candajon.azorragarse.info/ http://azorragarse.candajon.info/

Nareszcie się w czymś publicznie zgadzacie. Jeszcze tylko kogoś od Appla
brakuje, ale oni lubią BSD :)

Żeby jakiegoś flejma fajnego zacząć, to jeszcze byś musiał dodać własny
komentarz :P

--
Maciek
Polska Grupa Freesco

A ty zdaje się zrobiłeś sobie bota odpowiadającego "Compiz" na każdy post
związany z Linuksem... bez czytania, o co tak naprawdę chodzi...

Wtedy bym musiał pisać "M$", "Pryszczersi" i odpowiadać AnyUserowi, żeby
się wpasować w obecny profil grupy.

JP nigdy nie wskazał żadnej zalety Linuksa poza Compizem i PRZESŁANIEM.

To może sobie z kolegą BH dyskutuj prywatnie? Albo na pręgierzu? Albo
gdziekolwiek?

Jubal

--
[ Miroslaw L Baran | jabber id: baran-at-hell-pl | key-id: FC494FC4 | 0101010 ]

She loves you as much as she can, which is not very much.

Jacek, naprawdę masz fajnego fanboya. IMVHO mój Wasylek fajniejszy, ale
Twój też niczego sobie.

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>

Czyli mówisz że Linuksa trzeba co jakiś czas przeinstalować? No bo inaczej nie ma tu
żadnej zalety, ja swoje Windows aktywowałem tylko jeden raz przez internet.

Mogę zostać też twoim, ale musisz zaleczyć pryszcze.

A ja musiałem telefonicznie mimo, że box.

--
[ Artur M. Piwko : Pipen : AMP29-RIPE : RLU:100918 : From == Trap! : SIG:235B ]
[ 14:27:36 user up 11770 days, 2:22, 1 user, load average: 0.00, 0.89, 0.06 ]

happiness, n.: Having your Herpes (Type II) test come back negative.

>>>> Odruch psa Pawłowa.

Ciebie nie chcę, bo się lenisz. List wysłałeś, a o Compizie w nim ani słowa.

Repozytoria to druga zaleta. Teraz możesz używać zamiennie, wprowadzić
odrobinę różnorodności.

--
skx, http://skxpl.eu.org

Masz strasznie ciężkie życie, jeśli to dla ciebie jest jakiś problem.

Wasyl chyba zrezygnował z pisania do mnie jak napisałem coś o whisky :)

Piękny, flejmogenny post. Szkoda, że Linus nie jest polakiem -- brylowałby
na advocacy. :)

w.

p.c.o.a. jest polską wersją c.o.l.a.

Przyznał się parę razy, że po prostu lubi czasem poflejmować. Gorący,
szwedzko-fiński temperament ;)

Oszczędź nam proszę opowieści o gorącym JP. Niektórych razi taka estetyka.

Nie bardzo, na całe szczęście.

--
Andrzej Rosa

Och, rozmarzyłem się. Dopiero Jacek P. by szaty darł, jakby Linus zaczął
wymyślać od brain damaged morons. :-)

--
Andrzej Rosa

Ale to jest pl.comp.os.advocacy a nie pl.comp.jacek.poplawski.contra.

Byle nie tutaj :D

Widzisz.. to jest tak.. instalujesz Linuksa i NIE musisz wpisywać żadnego
kodu. Za pierwszym razem też NIE. Mało tego. możesz sobie kupić Linuksa, a
nie ściągać go za darmo. I tez NIE będziesz musiał wpisywać kodu. Jeśli z
jakiegoś powodu będziesz chciał go zainstalować po raz n-ty, to również NIE
będziesz musiał wpisywać kodu. I ani razu nie będziesz go musiał aktywować
przez Internet, ani telefonicznie.
I może jeszcze na koniec, czemu ewentualnie ktoś instaluje na nowo... na
przykład ktoś zmienia dystrybucję, bo mu się inna spodobała bardziej. Może
też zmieniać sprzęt całkowicie i nie chce mu się, kopiować ze starego
dysku. Może się też zdarzyć, że dysk niespodziewanie odejdzie do krainy
wiecznych bitów.. są więc sensowne czasem powody..

Kogo wymyślać? I dlaczego po angielsku, skoro miał po polsku?

To super, a zobacz - jeżeli w ogóle pozbędę się komputera, to nie tylko nie będę musiał
niczego ściągać, ale też nie będę musiał tracić czasu na instalację! Rewelacja!

> http://article.gmane.org/gmane.linux.kernel/706950

Taki ich zawód jest. Security jest black and white czyli w zasadzie wszystko co
pomiędzy. :) Gorzej jak ktoś totalnie nie rozumie danej podatności czy
zagrożenia - ale to jest kwestia profesjonalistów.

A od kiedy OpenBSD crowd to ludzie od security?

I dobrze. Ktoś to musi robić. Wolałbym aby np. taki Debian nie brał się za
robienie OpenSSH bo co by z tego wyszło każdy wie.

--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK

Też by Ci nie zaszkodziło, gdybyś wiedział, o czym piszesz.

Jubal

This will be a memorable month -- no matter how hard you try to
forget it.

A możesz się odpierdolić? Dziękuję.

Ale co robić? Security by obscurity? Bo wiadomo, WPA2 i AES złe,
używajcie leszcze VPN ;)

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)

Jak wyżej, ale nie tylko o czym piszesz, ale i jak piszesz.

--
[ Artur M. Piwko : Pipen : AMP29-RIPE : RLU:100918 : From == Trap! : SIG:228B ]
[ 08:09:45 user up 11771 days, 20:04, 1 user, load average: 0.01, 0.81, 0.02 ]

... REALITY.SYS Corrupted -- Unable to recover Universe

Mógłbym, ale mi się nie chce. Zmień ton, zmień język i zacznij
dyskutować merytorycznie (jeśli jeszcze potrafisz).

Jubal

Do you still remember your last cookie?

Nie wiem. To może nie czytaj czy coś.

No to tak czy inaczej się odpierdol.

Ta bo Ty ze swoimi argumentami ad persona to jesteś ultra merytoryczny.

Ale co chcesz podyskutować o ostatniej wpadce z openssl w Debianie? Do końca
nawet nie wiadomo po co w Debianie ten kod ruszali. Całe szczęście w Debianie
robi się apt i manuale - to jakoś wychodzi i nie ma to wielkiego znaczenia
(pomyłka w manualu czy w apt nie będzie tak wizerunkowa, bo nikogo to nie
obchodzi).

Może nie będę. A może będę. Czy coś.

--
[ Artur M. Piwko : Pipen : AMP29-RIPE : RLU:100918 : From == Trap! : SIG:229B ]
[ 08:37:12 user up 11772 days, 20:32, 1 user, load average: 0.05, 0.71, 0.00 ]

No electrons were harmed in the creation of this message.

Ale o co chodzi?
Przyznali się do błędu, poprawili pakiety, teraz jest ok.
Może chodzi Ci o to żeby błędów nie robili, aha, to może nich nic nie robią,
bo chyba nieomylnych nie ma.

--
*** rozanski.at.sergiusz.dot.com sq3bkn ***
*** http://www.4x4.kalisz.pl ***
$ You have new spam in /home/serek/maildir/

A nie wystarczy aby nie poprawiali kodu bez powiadomienia autora?

--
Piotr Borkowski

A potrafisz używać innego języka?

Ad personam. Poza tym, w Twoim wypadku one są merytoryczne; można w
sposób obiektywny ocenić, czy: (a) jesteś osobą źle wychowaną, (b)
jesteś bucem i (c) piszesz o rzeczach, o których nie masz pojęcia. (Dla
ustalenia uwagi, owszem, wszystkie trzy tezy są prawdziwe i można je
udokumentować.)

Wiadomo, dlaczego. Wiadomo, co zrobił developer. Wiadomo, że pytał się
na liście developerskiej OpenSSL i że zaszło nieporozumienie. Dla
każdego, kto chciał przeczytać cokolwiek więcej niż artykuły w
Registrze na ten temat wiadomo zupełnie sporo.

Podobnie zresztą, jak o Debianie, o którym masz nikłe pojęcie, ale za
to na jego temat -- stanowcze opinie.

Jubal

If ''nothing happens'', something *has* happened anyway!!

Każdego z każdej dystrybucji przy każdej zmianie? A ktoś broni autorowi
popatrzeć w diffy? Ze zlepku setek programów ma powstać produkt
debian, spójny itd. Zmiany w kodzie są nieuniknione, więc jest niejsce na
powstanie błędu. Można nic nie robić, błędów nie będzie, ale jak już ktoś
coś robi i zrobi błąd to się do tego przyznaje, poprawia i jest ok. Tak to
działa. Imo nie chodzi o to żeby nie robić błędów (bo to jest nieuniknione),
ale żeby je szybko poprawiać. A tak było w openssl.

>> Ale co chcesz podyskutowa� o ostatniej wpadce z openssl w Debianie? Do ko�ca
>> nawet nie wiadomo po co w Debianie ten kod ruszali. Ca�e szcz�cie w
>> Debianie robi siďż˝ apt i manuale - to jakoďż˝ wychodzi i nie ma to wielkiego
>> znaczenia (pomy�ka w manualu czy w apt nie b�dzie tak wizerunkowa, bo nikogo
>> to nie obchodzi).

> Ale o co chodzi?

Wr�� do pocz�tku w�tku. Linus si� na�miewa z developer�w OpenBSD, �e s�
upierdliwi na punkcie bezpiecze�stwa. Ja jednak wol�, aby OpenSSH by�o tworzone
przez takich w�a�nie ludzi. A nie ludzi pokroju tych z Debiana czy od kernela.

> Przyznali si� do b��du, poprawili pakiety, teraz jest ok. Mo�e chodzi Ci o
> to �eby b��d�w nie robili, aha, to mo�e nich nic nie robi�, bo chyba
> nieomylnych nie ma.

Wiesz s� pewne klasy b��d�w. Np. przepe�nienie buffora. A to to to jest "klasa
Debiana". Zmienili co� (nie wiadomo po co) i popsuli co� co dzia�a�o.

> Ka�dego z ka�dej dystrybucji przy ka�dej zmianie? A kto� broni autorowi
> popatrze� w diffy? Ze zlepku setek program�w ma powsta� produkt debian,
> sp�jny itd. Zmiany w kodzie s� nieuniknione,

A co takiego oni musieli zmieniaďż˝ w tym openssl i w imiďż˝ czego? Pewnych rzeczy
lepiej nie ruszaďż˝.

> wi�c jest niejsce na powstanie b��du. Mo�na nic nie robi�, b��d�w nie b�dzie,

Ta jasne. Bo jest tylko czarne i bia�e. Mo�na robi� albo nie. Nie tam aby po
drodze by�o ca�kiem spore pole szarzyzny, kt�re si� nazywa QA.

> ale jak ju� kto� co� robi i zrobi b��d to si� do tego przyznaje, poprawia i
> jest ok.

Wypomn� Ci to w kolejnym w�tku jak b�dzie b��d w Windows.

> Tak to dzia�a. Imo nie chodzi o to �eby nie robi� b��d�w (bo to jest
> nieuniknione), ale �eby je szybko poprawia�. A tak by�o w openssl.

Szybko poprawi�? A jeste� pewien, �e wszyscy wygenerowali klucze na nowo?

>> Ta bo Ty ze swoimi argumentami ad persona to jesteďż˝ ultra merytoryczny.

> Ad personam. Poza tym, w Twoim wypadku one s� merytoryczne; mo�na w spos�b
> obiektywny oceni�, czy: (a) jeste� osob� �le wychowan�, (b) jeste� bucem

Bucem to jest Twoja stara. Jak juďż˝ chcesz schodziďż˝ na poziom obrzucania siďż˝
b�otem.

> Dnia 18.07.2008 Piotr B. (pb2004) <p_borkowski@[nospam]> napisaďż˝/a:
>> Dnia Fri, 18 Jul 2008 07:06:39 +0000 (UTC), Sergiusz Rozanski napisaďż˝(a):
>>
>>> Dnia 18.07.2008 Konrad Kosmowski <kon...@kosmosik.net> napisaďż˝/a:

>>>> robi siďż˝ apt i manuale - to jakoďż˝ wychodzi i nie ma to wielkiego znaczenia
>>>> (pomy�ka w manualu czy w apt nie b�dzie tak wizerunkowa, bo nikogo to nie

>>> Przyznali si� do b��du, poprawili pakiety, teraz jest ok.
>>> Mo�e chodzi Ci o to �eby b��d�w nie robili, aha, to mo�e nich nic nie robi�,

Z jakich dystrybucji? S�ysza�e� okre�lenie upstream?

To �art?

> debian, sp�jny itd. Zmiany w kodzie s� nieuniknione, wi�c jest niejsce na
> powstanie b��du. Mo�na nic nie robi�, b��d�w nie b�dzie, ale jak ju� kto�
> co� robi i zrobi b��d to si� do tego przyznaje, poprawia i jest ok. Tak to
> dzia�a. Imo nie chodzi o to �eby nie robi� b��d�w (bo to jest nieuniknione),

ttst

--
Piotr Borkowski

Nie wiem, nie wnikam, ot ruszyďż˝ i juďż˝, czasu nie cofniesz, pewnie powinien siďż˝
podaďż˝ do dymisji.

S�dzisz �e specjalnie co� tam namiesza� aby by�o �le? Bo ja uwa�am �e przypadkowo
ruszyďż˝ cos co nie trzeba.

Ok, skomentuje go dopiero jak go w 3 tygodnie nie poprawiďż˝, ok?

Jestem pewien �e nie wszyscy, ale c� tego sie nie odkr�ci.

> Dnia 18.07.2008 Konrad Kosmowski <kon...@kosmosik.net> napisał/a:
[...]

>> Ta jasne. Bo jest tylko czarne i białe. Można robić albo nie. Nie tam aby
>> po drodze było całkiem spore pole szarzyzny, które się nazywa QA.
>
> Sądzisz że specjalnie coś tam namieszał aby było źle? Bo ja uważam że
> przypadkowo ruszył cos co nie trzeba.

Krzysiek Olędzki IMO dobrze to tutaj skomentował. Szło to jakoś tak, że są
dystrybucje bardzo agresywnie ingerujące w pakiety, takie jak np RH. Mają
zasoby deweloperskie, więc ich na to stać i generalnie to działa. Są
dystrybucje, które nie mają wystarczających zasobów więc wrzucają wszystko
jak leci, np Gentoo. No i jest Debian, który się stara stosować strategię
RH przy zasobach deweloperskich bliższych Gentoo. Wyszło jak wyszło, nie
ma co psów na ludziach wieszać, ale na pewno dało im to do myślenia.

[...]
--
Andrzej Rosa

>> przypadkowo ruszyďż˝ cos co nie trzeba.

> Krzysiek Ol�dzki IMO dobrze to tutaj skomentowa�.

Akurat nie to.

> Sz�o to jako� tak, �e s� dystrybucje bardzo agresywnie ingeruj�ce w pakiety,
> takie jak np RH. Maj� zasoby deweloperskie, wi�c ich na to sta� i generalnie
> to dzia�a.

Och model dystrybucji, w kt�rej deweloper�w sta� jest przecie� zbrodniczy. :)

> S� dystrybucje, kt�re nie maj� wystarczaj�cych zasob�w wi�c wrzucaj� wszystko
> jak leci, np Gentoo. No i jest Debian, kt�ry si� stara stosowa� strategi� RH
> przy zasobach deweloperskich bli�szych Gentoo.

Debian strategiďż˝ RH? Dobre. Kto daje jakiekolwiek wsparcie dla Debiana? Chodzi
mi tu o dostawc�w sprz�tu i oprogramowania. Bo wiesz na Postgresie czy MySQL i
Apache si� �wiat nie ko�czy.

> Wysz�o jak wysz�o, nie ma co ps�w na ludziach wiesza�, ale na pewno da�o im
> to do my�lenia.

Co konkretnie zmienili w QA?

Jakby specjalnie namiesza� to by�oby to jednak na jego korzy��.

To mo�e nale�y nie dopuszcza� przypadkowych zmian w kluczowych komponentach
systemu? Mo�e nale�y wprowadzi� wi�ksz� kontrol� tego co si� z nimi dzieje?

> > obiektywny ocenić, czy: (a) jesteś osobą źle wychowaną, (b) jesteś bucem

> Bucem to jest Twoja stara. Jak już chcesz schodzić na poziom obrzucania się
> błotem.

Och, po kilkukrotnym użyciu wulgaryzmów klasy 'pierdolić' (i generalnej
tendencji do używania wulgaryzmów niepotrzebnie) nagle dostałeś ataku
delikatności? Jakie to rozczulające (oraz stanowiące dowód na (b)).

Jubal

One nice thing about egotists: they don't talk about other people.

Ojezu jaki niesamowity wulgaryzm klasy i w ogóle. Wypłacz się mamie w sukienkę.

Dowód na B czyli, że Twój stary też jest bucem bo się z Twoją starą zadawał? No
to nie chcę Cię martwić, ale jesteś w tym momencie mega bucem i pierdzę w Twoim
kierunku.

Nie wiedziałeś, że to jest wulgaryzm? No widzisz, to teraz już wiesz.

Q.E.D. po raz kolejny. To jest zbyt łatwe.

Jubal

Of course there's no reason for it, it's just our policy.

Panowie - obydwaj zeszliście na poziom moona. Czy te posty przypadkiem nie
powinny się znaleźć na pręgierzu zamiast na pcoa?

--
Maciek
Polska Grupa Freesco

Rozumiem że z programowaniem to jednak nie masz do czynienia, prawda?

>> Bo ja uważam że przypadkowo ruszył cos co nie trzeba.
>
> To może należy nie dopuszczać przypadkowych zmian w kluczowych komponentach
> systemu? Może należy wprowadzić większą kontrolę tego co się z nimi dzieje?

Może element nie wyglądał na kluczowy, może okazał się kluczowy dopiero
po stwierdzeniu błędu? Może poprawił mało istotną pierdułkę w podrzędnej
funkcji którą autor błędnie użył w kluczowej sprawie?

Jakby developer myslal, to wiedzialby, ze element wygladal na kluczowy.
Z samej nazwy pakietu.

Ale to byl ten mniejszy problem. Wiekszy to to, ze cala Debianowa
"kontrola jakosci" okazala sie zwyczajna sciema. Jeden developer ma prawo
nie wiedziec. Errare i tak dalej. Ale _jakis_ peer review powinien byl
to wychwycic, zanim trafilo do uzytkownikow.

--
If you cut off my head, what would I say? Me and my head, or me and my body?

Miejmy nadzieję, że w przeciwieństwie do chłopaków od FreeBSD, ta
przygoda czegoś nauczyła developerów Debiana. Zobaczymy. ;)

Chlopaki od FreeBSD na szczescie nie maja na koncie takich wpadek. Miedzy
innymi wlasnie dzieki dzialajacemu peer review.

Orly?

http://security.freebsd.org/advisories/FreeBSD-SA-07:08.openssl.asc

Inna sytuacja - blad wynikajacy z radosnego, niezweryfikowanego przez nikogo
grzebactwa (Debian) vs. blad w poprawce, ktora trzeba bylo wypuscic, i trzeba
bylo zrobic to szybko.

Btw, jestes pewien, ze ten blad byl w calosci po stronie FreeBSD, a nie
autorow 'upstreamu', ktorzy za pierwszym razem poprawili blad blednie?

Ojezu wulgarzym o boże.

Czy ty jesteś jakimś zboczonym pedałem? Bo z tego co widzę to nie uczestniczysz
w dyskusjach na grupie tylko przypierdalasz się do mnie.

Rozum sobie cokolwiek. Skoro uważasz, że nie mam nic do czynienia z
programowaniem to na jaki chuj ze mną o tym dyskutujesz? Jakiś jebnięty jesteś
czy coś?

Zanotować: w debianie openssl nie wygląda na kluczowy element systemu. Właśnie
dlatego koledzy Debian klepie biedę, a RH czesze kokosy. Bo potrafią określić
co jest dla klienta kluczowe, a co nie.

Tak zapewne temu developerowi Debiana przyświecało cośtam, no ale wyszło jak
wyszło. W Debianie słyszeli kiedykolwiek o kontroli jakości?

Whatever. ;)

Widzę taką regularność, że zarówno chłopaki z FreeBSD jak i chłopaki z Debiana
biedują i ich system nie istnieje komercyjnie. Może o to chodzi.

Ale dlaczego nie można było wziąć po prostu nowego wydania openssl?
Co by nie mówić, jak do tej pory chłopakom udaje się utrzymać niemal
wzrorowy poziom zgodności kolejnych wydań w obrębie danej wersji.
No ale nie, lepiej po prosu grzebać, w imię "stability". Tak jak w Debianie...
Najgorsze jest jednak to, że robią to do dzisiaj. Nic się nie nauczyli.
Na szczęście można jechać z openssl z portów, tylko kto o tym wie i tak robi?

Czy nowe, oryginalne wydanie openssl zawierające poprawkę na ten
błąd, było złe? Coś nie paniętam, aby musieli to poprawiać.

Mogę dyskutować, ale nie na tym poziomie.

Bo to jest patch, a nie upgrade. Obaj doskonale wiemy, czym sie rozni
jedno od drugiego.

Zgodnosci API i ABI biblioteki? Tak, jak w kazdej sensownej bibliotece.
Ale i tak upgrade moze popsuc (i doswiadczenie pokazuje, ze psuje) na
przyklad wspolprace ze sprzetowa akceleracja. W przypadku patcha tego
ryzyka nie ma.

Swoja droga, czy nowe wydanie OpenSSL nie bylo ciut pozniej?

W Debianie nie grzebano w imie stabilnosci. W Debianie grzebano w imie
grzebania. Zmiana, ktora spowodowala problem, nie poprawiala zadnego bledu
ani nie dodawala zadnej funkcjonalnosci.

Pewnie ten, ktoremu to potrzebne. Czyli malo kto. ;-)

[..]

Nikt im nie kazał upgradować do 0.9.8, przecież jednocześnie wyszło także
nowe wydanie 0.9.7: http://www.mail-archive.com/opens...@openssl.org/msg21732.html

Oraz utrzymywanie danej wersji przez wiele lat: 0.9.7 zostało wydane w 2002
roku. Aktualizaje wychodzą nawet teraz.

Coś nie pamiętam, żeby każde kolejne wydanie 0.9.7 psuło sprzetową
akcelerację. Szczerze, to nie pamiętam, aby którekolwiek psuło.
Ale pewnie masz jakiś URL.

Nie? A skad ta pewność?

Nie, oba wyszły tego samego dnia. Poza tym, co to za argument?
Niby lepiej zrobić poprawkę wcześniej, ale taką, która nie działa?

W tym rzecz, że poprawiała błąd. Tylko niestety była zbyt radykalna.

No pewnie, lepiej przez rok żyć w świadomości, że ma się
naprawionego remote exploita. A potem odkryć, że wszyscy
mieli, tylko nie FreeBSD. No masz rację, nikt tego nie potrzebuje,
wszyscy przecież lubią niespodzianki. ;)

Litosci, przeciez oba advisories dotycza zupelnie innych bledow. Popatrz
na numerki CVE. Zreszta, co tam CVE, popatrz na daty - jedno jest z 2006,
drugie z 2007.

Urla nie mam, ale jesli poszukasz w archiwach ktorejs z list FreeBSD,
to znajdziesz. Dokladnie to iirc nie chodzilo o zepsucie w sensie
zupelnego zepsucia, ale o to, ze sie zmienil default.

Bo zmieniasz tylko drobny kawalek kodu, w konkretnym celu.

Jesli przez "oba" masz na mysli to z linku powyzej, to oba wyszly
w innym roku. ;->

Nie. Mozna dostac od upstreamu poprawke, pchnac ja czym predzej
do uzytkownikow, po czym uswiadomic sobie - zwykle jeszcze z innego
zrodla - ze jest w jakis dyskreny sposob zwalona.

Nie poprawiala _zadnego_ bledu, co najwyzej warning Coverity.

Dziura zostala ujawniona na bugtraqu 2007-09-27. Oficjalna poprawka
do FreeBSD ukazala sie 2007-10-03. Faktycznie, rok.

Inna sprawa, ze nie potrafie sie dokopac, kiedy zostalo poprawione
w OpenSSL 0.9.7. Znaczy, pisza, ze w 0.9.7m - tyle, ze ono ukazalo
sie pol roku wczesniej. I sladu tam nie ma po CVE-2007-5135.

Wszyscy, powiadasz. RedHat: 2007-10-22, trzy tygodnie po FreeBSD.

http://rhn.redhat.com/errata/RHSA-2007-0813.html

Novell: 2007-10-12, tydzien po FreeBSD.

http://www.novell.com/linux/security/advisories/2007_20_sr.html

Debian: 2007-10-02, dzien przed FreeBSD. Ło.