<div dir="ltr"><div>On Sun, Jan 20, 2013 at 6:50 AM, Vincent Hanquez <span dir="ltr">&lt;<a href="mailto:tab@snarc.org" target="_blank">tab@snarc.org</a>&gt;</span> wrote:<br></div><div class="gmail_extra"><div class="gmail_quote">


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hi cafe,<br>
<br>
this is a security advisory for tls-extra &lt; 0.6.1 which are all vulnerable to bad<br>
certificate validation.<br>
<br>
Some part of the certificate validation procedure were missing (relying on the<br>
work-in-progress x509 v3 extensions), and because of this anyone with a correct<br>
end-entity certificate can issue certificate for any arbitrary domain, i.e.<br>
acting as a CA.<br>
<br>
This problem has been fixed in tls-extra 0.6.1, and I advise everyone to upgrade as<br>
soon as possible.<br>
<br>
Despite a very serious flaw in the certificate validation, I&#39;m happy that the<br>
code is seeing some audits, and would want to thanks Ertugrul Söylemez for the<br>
findings [1].<br>
<br></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">[1] <a href="https://github.com/vincenthz/hs-tls/issues/29" target="_blank">https://github.com/vincenthz/hs-tls/issues/29</a><br>



<span><font color="#888888"><br>
</font></span></blockquote><div><br></div><div style>Regarding testing, it looks like the Tests directory hasn&#39;t been updated to cover this bug.  What would really give confidence is a set of tests encoding fixed security vulnerabilities in OpenSSL (and similar libraries).  That should also give you a lot of confidence in your library.</div>

<div style><br></div><div style>But anyways, this is fantastic work you&#39;re doing.  Keep it up!</div><div style><br></div><div style>Alexander</div><div style> <br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


<span><font color="#888888">--<br>
Vincent<br>
<br>
_______________________________________________<br>
Haskell-Cafe mailing list<br>
<a href="mailto:Haskell-Cafe@haskell.org" target="_blank">Haskell-Cafe@haskell.org</a><br>
<a href="http://www.haskell.org/mailman/listinfo/haskell-cafe" target="_blank">http://www.haskell.org/mailman/listinfo/haskell-cafe</a><br>
</font></span></blockquote></div><br></div></div>