<div dir="ltr"><div class="gmail_quote" style="font-size:12.8px">Hanno Böck <span dir="ltr"><<a href="mailto:hanno@hboeck.de" target="_blank">hanno@hboeck.de</a>></span>:</div><div class="gmail_quote" style="font-size:12.8px"><span class="gmail-im"><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-m_4955395185801442854gmail-m_6080798950521075005gmail-">> I was wondering when exactly (the version) was the OpenSSL library<br>> patched for the Bleichenbacher Vulnerability?<br></span></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-m_4955395185801442854gmail-m_6080798950521075005gmail-"></span>It was probably fixed some time in the late 90s. However according to<br><a href="https://www.openssl.org/news/changelog.html" rel="noreferrer" target="_blank">https://www.openssl.org/news/c<wbr>hangelog.html</a><br><br>the countermeasures were accidentally removed in some 0.9.6 version.<br></blockquote><div><br></div></span><div>The original countermeasure had been present back in SSLeay, but it also had never actually worked at all until I accidentally removed it from s3_srvr.c in 0.9.5 (not 0.9.6) and put it back in 0.9.6g with a fix. The original implementation would have generated a randomized master secret but then still ended the handshake with an error alert, thus achieving nothing. The main takeaway from that is that good source code comments are invaluable, because reverse-engineering the intentions underlying the code can be particularly hard if said code doesn't actually do what it's intended to do :-)</div><div><br></div><div>Of course, in the end the 0.9.6g fix didn't achieve too much (other than adding a source code explaining what that randomization was all about), because the RFC 2246 countermeasure was still subject to the Klíma-Pokorný-Rosa attack discovered later (and first addressed in 0.9.6j). And of course, as you've already pointed out, that still left timing attacks.<br><br></div><span class="gmail-im"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-m_4955395185801442854gmail-m_6080798950521075005gmail-">> Wanted to know this, since my custom application uses an older version<br>> of OpenSSL, and I wanted to be sure that it is not affected.<br></span></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-m_4955395185801442854gmail-m_6080798950521075005gmail-"></span>Don't do this. Switch to a supported version. There's no way you will<br>plausibly keep this secure. Bleichenbacher attacks may be the least of<br>your worries.</blockquote><div><br></div></span><div>I completed agree. If you're using an "older version of OpenSSL", likely it's subject to a few vulnerabilities with and without logos, and thus is not what you should be running today.</div><div><br></div><div>Bodo</div><div><br></div></div></div>