
<div dir="ltr">I'm less concerned about that access in this specific instance - as if we had a test in place for that function then make test on the platform would have picked up the issue trivially.<div>I don't know that we asked the reporter of the issue as to *how* it was found - that would be interesting information.</div><div><br></div><div>Noting which platforms are supported to which level and what level of test coverage we have are the more important items in my view.</div><div><div><br></div><div>Tim.</div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 4, 2018 at 1:39 AM, Richard Levitte <span dir="ltr"><<a href="mailto:levitte@openssl.org" target="_blank">levitte@openssl.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">While I totally agree with the direction Tim is taking on this, we<br>

need to remember that there's another condition as well: access to the<br>

platform in question, either directly by one of us, or through someone<br>

in the community.  Otherwise, we can have as many tests as we want, it<br>

still won't test *that* code (be it assembler or something else)<br>

<br>

In message <<a href="mailto:CAHEJ-S7o%2BztC8gF3ZN_J7qoFPiCbxTOBYfrXr8AVK6s15Hd8Cw@mail.gmail.com">CAHEJ-S7o+ztC8gF3ZN_<wbr>J7qoFPiCbxTOBYfrXr8AVK6s15Hd8C<wbr>w@mail.gmail.com</a>> on Tue, 03 Apr 2018 15:36:15 +0000, Tim Hudson <<a href="mailto:tjh@cryptsoft.com">tjh@cryptsoft.com</a>> said:<br>

<br>

tjh> And it should have a test - which has nothing to do with ASM and everything to do with improving<br>

tjh> test coverage.<br>

tjh><br>

tjh> Bugs are bugs - and any form of meaningful test would have caught this.<br>

tjh><br>

tjh> For the majority of the ASM code - the algorithm implementations we have tests that cover things<br>

tjh> in a decent manner.<br>

tjh><br>

tjh> Improving tests is the solution - not whacking ASM code. Tests will catch issues across *all*<br>

tjh> implementations.<br>

tjh><br>

tjh> Tim.<br>

tjh><br>

tjh> On Tue, 3 Apr. 2018, 8:29 am Salz, Rich, <<a href="mailto:rsalz@akamai.com">rsalz@akamai.com</a>> wrote:<br>

tjh><br>

tjh>  On 03/04/18 15:55, Salz, Rich wrote:<br>

tjh>  > This is one reason why keeping around old assembly code can have a cost. :(<br>

tjh><br>

tjh>  Although in this case the code is <2 years old:<br>

tjh><br>

tjh>  So? It's code that we do not test, and have not tested in years. And guess what? Critical CVE.<br>

tjh><br>

tjh>  ______________________________<wbr>_________________<br>

tjh>  openssl-project mailing list<br>

tjh>  <a href="mailto:openssl-project@openssl.org">openssl-project@openssl.org</a><br>

tjh>  <a href="https://mta.openssl.org/mailman/listinfo/openssl-project" rel="noreferrer" target="_blank">https://mta.openssl.org/<wbr>mailman/listinfo/openssl-<wbr>project</a><br>

tjh><br>

<div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>

openssl-project mailing list<br>

<a href="mailto:openssl-project@openssl.org">openssl-project@openssl.org</a><br>

<a href="https://mta.openssl.org/mailman/listinfo/openssl-project" rel="noreferrer" target="_blank">https://mta.openssl.org/<wbr>mailman/listinfo/openssl-<wbr>project</a><br>

</div></div></blockquote></div><br></div>