<div dir="ltr"><div>We're all talking about a serious bug in OpenSSL code.<br><br></div><div>But the bug itself isn't a crypto bug. It's a general programming bug, which<br>could occur in any server code when the client can say 'send me the first X<br>
bytes of buffer FOO', and the server does that without checking that <br></div><div>X <= length(FOO). <br><br></div><div>Its a bounds checking bug, which just happened to appear in security related<br>code. <br><br>
</div><div>The same error could occur in many other parts of a server program, with the<br>same devastating consequences. <br><br></div><div>Fixing OpenSSL is important. But we need to look at ways of <br>preventing this kind of bound check error generally. Discussing fixes that<br>
</div><div>specifically make crypto code more reliable won't catch issues outside of<br>crypto code.<br><br></div><div>pt<br><br></div></div>