
<div dir="ltr">thanks Matt for the information provided.</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 2, 2015 at 6:26 PM, Matt Caswell <span dir="ltr"><<a href="mailto:matt@openssl.org" target="_blank">matt@openssl.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>

<br>

On 02/07/15 13:28, Jaya Nageswar wrote:<br>

> Dear openssl users,<br>

><br>

> I have a question regarding the vulnerability CVE-2015-1788.<br>

><br>

> At <a href="http://openssl.org/news/secadv_20150611.txt" rel="noreferrer" target="_blank">http://openssl.org/news/secadv_20150611.txt</a>, I would like to get the<br>

> clarification on the follwing statement.<br>

><br>

> This issue affects OpenSSL versions: 1.0.2 and 1.0.1. Recent 1.0.0 and<br>

> 0.9.8 versions are not affected. 1.0.0d and 0.9.8r and below are affected.<br>

><br>

> I would like to know in which version of 0.9.8, this vulnerability is<br>

> fixed. I do not find the code changes related to this in 0.9.8zg that<br>

> are committed for<br>

> 1.0.1n(<a href="https://github.com/openssl/openssl/commit/4924b37ee01f71ae19c94a8934b80eeb2f677932" rel="noreferrer" target="_blank">https://github.com/openssl/openssl/commit/4924b37ee01f71ae19c94a8934b80eeb2f677932</a>)<br>

> for fixing the same. Is the fix different for 0.9.8 and 1.0.1 versions.<br>

> Please help me.<br>

<br>

</div></div>Like the advisory said, 0.9.8r and below are affected...or putting it<br>

another way 0.9.8s is the first version where this vulnerability is fixed.<br>

<br>

The fix is different between the two versions - 0.9.8 doesn't have the<br>

optimised implementation of that function that is present in later<br>

versions. Unfortunately the same bug existed in both the optimised and<br>

unoptimised forms. The un-optimised version got fixed some while ago,<br>

but the optimised version did not. The fix in 0.9.8 is here:<br>

<br>

<a href="https://github.com/openssl/openssl/commit/22152d6885fac98777ae1d7626a78c20b1ab4295" rel="noreferrer" target="_blank">https://github.com/openssl/openssl/commit/22152d6885fac98777ae1d7626a78c20b1ab4295</a><br>

<span class="HOEnZb"><font color="#888888"><br>

Matt<br>

</font></span><div class="HOEnZb"><div class="h5"><br>

_______________________________________________<br>

openssl-users mailing list<br>

To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>

</div></div></blockquote></div><br></div>