<div dir="ltr">Hello,<div><br></div><div>1)</div><div>In openssl1.0.2i, the release note says, there is a fix for CVE-2016-2178:</div><div><br></div><div>"</div><div><div>  *) Constant time flag not preserved in DSA signing</div><div><br></div><div>     Operations in the DSA signing algorithm should run in constant time in</div><div>     order to avoid side channel attacks. A flaw in the OpenSSL DSA</div><div>     implementation means that a non-constant time codepath is followed for</div><div>     certain operations. This has been demonstrated through a cache-timing</div><div>     attack to be sufficient for an attacker to recover the private DSA key.</div><div><br></div><div>     This issue was reported by César Pereida (Aalto University), Billy Brumley</div><div>     (Tampere University of Technology), and Yuval Yarom (The University of</div><div>     Adelaide and NICTA).</div><div>     (CVE-2016-2178)</div><div>     [César Pereida]</div></div><div>"</div><div><br></div><div>2)</div><div>And the related code diff in git is: <a href="https://git.openssl.org/?p=openssl.git;a=commitdiff;h=399944622df7bd81af62e67ea967c470534090e2">https://git.openssl.org/?p=openssl.git;a=commitdiff;h=399944622df7bd81af62e67ea967c470534090e2</a></div><div><br></div><div>3)</div><div>But when i download the source code (1.0.2i and 1.0.2j), i cannot see those fixes.</div><div><br></div><div>Could you please clarify a bit about this. Is this intended or i just need to apply the patches myself ?</div><div><br></div><div>Regards,<br>Sanjaya</div></div>