「OpenSSL/Debian脆弱性/DebianのOpenSSLはどのように修正されたか」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
* DebianのOpenSSLはどのように修正されたか
#right() {
初版 2008年6月2日
}
今回のDebian OpenSSL問題に関して例えば、
Debian etsh ディストリビューションの場合
opensslのバージョンでいえば
- openssl-0.9.8c-4etch1 (2007.10.02リリース) は修正前
- openssl-0.9.8c-4etch3 (2008.05.14リリース) で修正された
ということになっています。
ウェブからは古いコードは取得できないようですが
FTPからはダウンロードできるようです。
ftp://ftp.debian.org/debian/pool/main/o/openssl/
- openssl_0.9.8c.orig.tar.gz
- openssl_0.9.8c-4etch1.diff.gz
- openssl_0.9.8c-4etch3.diff.gz
4etch1, 4etch3 のソースは共にオリジナルに対するパッチの
形で提供されています。
4etch1, 4etch3 の差分をとり、
どこに問題があり、どのように修正されたかを
見てみることにしました。
4etch1から4etch3で更新されたファイル一覧は以下の通りになります。
|ファイル|備考|
|crypto/bn/bn_mont.c|4etch2のMontgomery multiplicationの修正|
|crypto/rand/md_rand.c|MessageDigestを利用した乱数生成器?これですね|
|debian/changelog|変更履歴|
|debian/libssl0.9.8.postinst|バージョン比較文字列の変更のみ|
|include/openssl/dtls1.h|4etch2のDTLSの修正か?|
|include/openssl/ssl.h|4etch2のDTLSの修正か?|
|ssl/d1_both.c||4etch2のDTLSの修正か?|
|ssl/dtls1.h|4etch2のDTLSの修正か?|
|ssl/ssl.h|4etch2のDTLSの修正か?|
|ssl/ssl_err.c|4etch2のDTLSの修正か?|
##鋭意執筆中、、、m(_ _)m