アカウント名:
パスワード:
未初期化の変数って本当に十分なエントロピー持ってるのか?
原因は、valgrind使ったアプリケーションが本当にタコで未初期化のバッファを渡していたか、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
いやしかし (スコア:0)
Re:いやしかし (スコア:2, 参考になる)
# これくらいその関数内のコード追っかけるだけで分かるのに、ほんとに何やってんだか。
本来はアプリケーション側がランダムなデータを用意してssleay_rand_add()に食わせてランダム性を 確保するようになっています。そこをコメントアウトしたので全くランダム性が失われていたのです。
原因は、valgrind使ったアプリケーションが本当にタコで未初期化のバッファを渡していたか、 パッチ作成者が悪意を持ってパッチを書いたか、でしょう。
Re:いやしかし (スコア:2, 参考になる)
OpenSSL内部で未初期化のバッファを渡している部分があるという指摘がありました。
http://www.links.org/?p=328 [links.org]
しかしOpenSSLが未初期化のバッファに依存しないということには変わりありません。
上述のページには「何が問題だったか」と「今後どうすべきか」がまとめてありますので、詳しく知りたい方は是非読んでみてください。