
<div dir="ltr">Scott, I just checked the CVE ID's on mitre, and as of now ( 11:18 AM PST 1/26/17 ) they are all listed as 'reserved' and don't have any information about the issue. NVD shows the same information. In either case, it seems like an extra hoop to jump through to have to go to a third party site to find a commit #, when the third party chooses to release the information.</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jan 26, 2017 at 10:53 AM, Scott Neugroschl <span dir="ltr"><<a href="mailto:scott_n@xypro.com" target="_blank">scott_n@xypro.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-US" link="blue" vlink="purple">

<div class="m_-8047476635760996282WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">The CVE itself contains the commit info.  Find it at <a href="http://cve.mitre.org" target="_blank">cve.mitre.org</a><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> openssl-users [mailto:<a href="mailto:openssl-users-bounces@openssl.org" target="_blank">openssl-users-bounces@<wbr>openssl.org</a>]

<b>On Behalf Of </b>Ethan Rahn<br>

<b>Sent:</b> Thursday, January 26, 2017 10:40 AM<br>

<b>To:</b> <a href="mailto:openssl-users@openssl.org" target="_blank">openssl-users@openssl.org</a><br>

<b>Subject:</b> [openssl-users] Should openssl publish the commit #'s that fixed each CVE?<u></u><u></u></span></p><div><div class="h5">

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal">Hello,<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">When looking a the latest security announcement, something that I notice is that it's hard to find the actual commits that fixed an issue. If you search

<a href="http://git.openssl.org" target="_blank">git.openssl.org</a> you can find some of them if they are mentioned in the change message, but it still requires some active effort.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Would it be a good idea for openssl to publish the commit(s) that fixed each CVE? It would make it easier to see what changed, which is great for<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">a.) backporting.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">b.) satisfying curiosity of armchair cryptographers.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">c.) better assessing an issue.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Cheers,<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Ethan<u></u><u></u></p>

</div>

</div>

</div></div></div>

</div>


<br>--<br>

openssl-users mailing list<br>

To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/<wbr>mailman/listinfo/openssl-users</a><br>

<br></blockquote></div><br></div>