Bug no Debian gerando chaves fracas

Esperei para ler se alguém ia comentar o desastroso bug que afeta Debian/Ubuntu e derivadas. Achei que o bug foi pouco comentado nos planetas que frequento, principalmente pela seriedade do mesmo. Falar dos bugs da distribuição faz parte do Contrato Social perante a Comunidade de Software Livre que, no seu terceiro item, assegura “Nós não esconderemos problemas”.

O que eu queria comentar são dois pontos: o primeiro foi a motivação para o bug. Para manter o “código limpo”, isto é, sem avisos de ferramentas de auxílio como o Valgrind e Purify que detectam variáveis não inicializadas, o desenvolvedor cometeu a mancada de comentar a linha e verificar que o programa compilava e rodava. Há muito tempo, a gente comentava que este era o procedimento de lançamento de um outro sistema operacional. Ao colocar a responsabilidade de limpeza e funcionalidade do código, em ferramentas, o desenvolvedor esqueceu a máxima da programação: só mexa em código que você entenda o que está se passando. Só aí, use ferramentas de auxílio. Enquanto eu sou partidário de inclusão digital, etc. eu não acho que ser programador não é para qualquer um, e nem é fácil.

Eu ainda acho que o pessoal que escreve o openssl deveria escolher outra maneira para inicializar o gerador, principalmente no caso citado (por exemplo, o GPG não foi afetado pois usa outro método para gerar suas chaves), mas isto não justifica o erro. De qualquer maneira, eu me sinto mais seguro usando uma distribuição em que falhas de segurança são amplamente notificadas e corrigidas tão logo são detetadas.

O segundo ponto é o relato do que aconteceu comigo na atualização de duas máquinas rodando Etch (uma delas com instalação recente). Ainda não sei se é bug, por isto, não preenchi o bug report. Como não vi comentado no Google, não estou certo se o bug sou eu. Em duas máquinas etch, quando fiz o dist-upgrade, recebi a mensagem de erro que “não era possível criar um link de backup para o /usr/bin/ssh” e outro aviso para o sshd. O problema é que nem o root poderia ler ou apagar o arquivo. Frequentemente, é erro no sistema de arquivos (uso só o ext3). Os atributos estavam estranhos mesmo. Checando com o lsattr, encontrei

# lsattr /usr/sbin/sshd
su--ia------------ /usr/sbin/sshd
Resolvi fazendo
# chattr -suia /usr/sbin/sshd 
# lsattr /usr/sbin/sshd
------------------ /usr/sbin/sshd
# aptitude dist-upgrade
e aí as permissões voltaram a funcionar normalmente. Como a luz costuma cair muito por aqui e nem todos os nobreaks dão shutdown nas máquinas, pode ser azar mesmo a corrupção do sistema de arquivos (no Brasil, deve aumentar ainda mais a chance disto ocorrer).

Caso tenha encontrado o mesmo erro, deixe um comentário que aí confirmaremos ser um bug.

Linkbacks

Use the following URL for manually sending trackbacks: http://profs.if.uff.br/tjpp/lib/plugins/linkback/exe/trackback.php/blog:entradas:bug-no-debian-gerando-chaves-fracas
blog/entradas/bug-no-debian-gerando-chaves-fracas.txt · Última modificação: 27/Mar/2010 23:52 (edição externa)
chimeric.de = chi`s home Creative Commons License Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0