<div>26.02.2017, 16:27, "Kurt Roeckx":</div><div>> On Sun, Feb 26, 2017 at 09:26:06AM +0300, Andrey Ponomarenko wrote:</div><div>>>  31.01.2017, 10:21, "Nikos Mavrogiannopoulos":</div><div>>>  > On Fri, 2017-01-27 at 10:54 -0600, Benjamin Kaduk via openssl-dev</div><div>>>  > wrote:</div><div>>>  >>  [moving from github to -dev]</div><div>>>  >></div><div>>>  >>  On 01/27/2017 07:36 AM, mattcaswell wrote:</div><div>>>  >>  > 1.0.2 is the software version.</div><div>>>  >>  > The numbers on the end of lbssl.so.1.0.0 refer to the ABI version -</div><div>>>  >>  > which is different. Software version 1.0.2 is a drop in replacement</div><div>>>  >>  > for 1.0.1, which is a drop in replacement for 1.0.0 - hence they</div><div>>>  >>  > all have the same ABI version.</div><div>>>  >>  ></div><div>>>  >></div><div>>>  >>  There was some discussion about 1.0.1 being EoL on a FreeBSD list</div><div>>>  >>  [0], and whether it would make sense to move to 1.0.2 on their stable</div><div>>>  >>  branch, which led to someone making the claim that 1.0.2 has removed</div><div>>>  >>  4 symbols compared to 1.0.1, and thus is not strictly ABI compatible,</div><div>>>  >>  linking to https://abi-laboratory.pro/tracker/timeline/openssl/ .  If</div><div>>>  >>  I start semi-randomly clicking around, I can find a page [1] that</div><div>>>  >>  seems to claim the missing symbols are:</div><div>>>  >>  ASN1_STRING_clear_free()</div><div>>>  >>  ENGINE_load_rsax()</div><div>>>  >>  SRP_user_pwd_free()</div><div>>>  >>  SRP_VBASE_get1_by_user()</div><div>></div><div>> It's normal that you might see some symbols removed if you compare</div><div>> something like 1.0.1t against 1.0.2, but it shouldn't when compared</div><div>> to 1.0.2k.</div><div>></div><div>> CRYPTO_memcmp was added in 1.0.1d.</div><div>></div><div>> ASN1_STRING_clear_free was added in 1.0.1m and 1.0.2a</div><div>></div><div>> In 1.0.1s and 1.0.2g the following were added (for CVE-2016-0798):</div><div>> SRP_VBASE_get1_by_user;</div><div>> SRP_user_pwd_free;</div><div>></div><div>> ENGINE_load_rsax seems to have been removed because it didn't</div><div>> compile? That looks like the only symbol that has been removed,</div><div>> and it probably shouldn't have.</div><div>></div><div>> Kurt</div><div> </div><div>I found new ABI navigator reports to be very useful when checking for these symbols:</div><div> </div><div>https://abi-laboratory.pro/index.php?view=navigator&selected=SRP_VBASE_get1_by_user#result</div><div>https://abi-laboratory.pro/index.php?view=navigator&selected=ASN1_STRING_clear_free#result</div><div> </div><div>Thank you.</div>