<div dir="ltr">Hello Jerry,<div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jun 3, 2014 at 9:57 PM, Jerry Leichter <span dir="ltr"><<a href="mailto:leichter@lrw.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=leichter@lrw.com&cc=&bcc=&su=&body=','_blank','location=yes,menubar=yes,resizable=yes,width=800,height=600');return false;">leichter@lrw.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">"A recently discovered bug in the GnuTLS cryptographic code library puts users of Linux and hundreds of other open source packages at risk of surreptitious malware attacks until they incorporate a fix developers quietly pushed out late last week."<br>

<br>
<a href="http://arstechnica.com/security/2014/06/critical-new-bug-in-crypto-library-leaves-linux-apps-open-to-drive-by-attacks/" target="_blank">http://arstechnica.com/security/2014/06/critical-new-bug-in-crypto-library-leaves-linux-apps-open-to-drive-by-attacks/</a><br>

<br>
It's a buffer overflow induced by sending an overly long session ID.  Allegedly code execution has already been demonstrated.<br>
<br>
So now we've had serious attacks on Apple's private SSL implementation, OpenSSL,  and now GnuTLS.  Is anything left standing?  What does Windows use for its SSL implementation?<br></blockquote><div><br></div><div>
NSS seems to be still unbroken :-) </div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
If this isn't the death of "it's open source, any bugs will be found quickly", I don't know what will be.  But it really is way past time to get beyond that, and  every other technique we're currently using.  They ain't working.  We have new tools - better languages, better analyzers, better ways of managing sensitive code bases.  Maybe they're better, maybe they aren't - but we'll never find out because we aren't using any of them.<br>
</blockquote><div><br></div><div>For crypto we still have mostly Old Faithful С, don't we?</div><div>But yes, I think that, having a dozen megabytes of source code, nobody can find such bugs. </div></div><div><br></div>
-- <br>SY, Dmitry Belyavsky
</div></div>