LibreSSL 2.0.5 -为什么它没有完全受到secadv_20140806.txt的影响？

Question

来自：https://marc.info/?l=openbsd-announce&m=140752800525709

公告：

We have released LibreSSL 2.0.5, which should be arriving in the
LibreSSL directory of an OpenBSD mirror near you.

This version forward-ports security fixes from OpenSSL 1.0.1i,
including fixes for the following CVEs:

CVE-2014-3506
CVE-2014-3507
CVE-2014-3508 (partially vulnerable)
CVE-2014-3509
CVE-2014-3510
CVE-2014-3511

LibreSSL 2.0.4 was not found vulnerable to the following CVEs:

CVE-2014-5139
CVE-2014-3512
CVE-2014-3505

We welcome feedback and support from the community as we
continue to work on LibreSSL.

Thank you,
 Brent

我们的问题是:为什么LibreSSL没有受到CVE-2014-5139，CVE-2014-3512，CVE-2014-3505的影响，并且只部分易受影响: CVE-2014-3508？谁能简单地解释一下吗？

OpenSSL安全咨询链接：https://www.openssl.org/news/secadv_20140806.txt

Answer 1

• CVE-2014-5139 -在Server中使用SRP密匙- SRP在2014年5月是来自LibreSSL的删除，所以没有必要修复。
• CVE-2014-3512 - SRP缓冲区溢出-同样不容易受攻击，因为SRP不再是LibreSSL的一部分。
• CVE-2014-3505 --处理DTLS数据包时的双自由--早在2014年5月，LibreSSL就已经独立于固定了。
• CVE-2014-3508 - openssl:漂亮的打印函数中的信息泄漏-- LibreSSL确实为它提供了一个修复。我不知道为什么LibreSSL 2.0.5发布公告将其标记为“部分易受攻击”，了解该主题的人可以将LibreSSL修复与OpenSSL修正进行比较，以了解这一点。更新:在寻找关于这个问题的更详细的解释时，我遇到了这条线，有人问了同样的问题，其中一个OpenBSD开发人员解释了CVE-2014-3508:对于-3508，其中一个涉及到的路径已经转换为snprintf()，不能再不终止缓冲区，但我们没有改变另一个。该死的。

注意:我将CVEs链接到Redhat的Bugzilla，因为它们总是链接到实际的提交者修复问题，这很好。