<p dir="ltr"><br>
On 25 Feb 2014 23:09, "Maciej Fijalkowski" <<a href="mailto:fijall@gmail.com">fijall@gmail.com</a>> wrote:<br>
><br>
> On Tue, Feb 25, 2014 at 3:06 PM, Chris Angelico <<a href="mailto:rosuav@gmail.com">rosuav@gmail.com</a>> wrote:<br>
> > On Tue, Feb 25, 2014 at 11:59 PM, Maciej Fijalkowski <<a href="mailto:fijall@gmail.com">fijall@gmail.com</a>> wrote:<br>
> >>> Last issues:<br>
> >>> - hash DoS<br>
> >><br>
> >> is this fixed?<br>
> ><br>
> > Yes, hash randomization was added as an option in 2.7.3 or 2.7.4 or<br>
> > thereabouts, and is on by default in 3.3+. You do have to set an<br>
> > environment variable for 2.7 (and I think 2.6 got that too (??)), as<br>
> > it can break code.<br>
><br>
> No, the hash randomization is broken, it does not provide enough<br>
> randomness (without changing the hash function which only happened in<br>
> 3.4+)</p>
<p dir="ltr">The blind hash collision DOS attack was fixed in all applicable branches. There was then a second vulnerability in the randomisation that still allowed a relatively straightforward invocation specific secret recovery attack against earlier versions that is only fixed with the SipHash change in 3.4.</p>

<p dir="ltr">You and the other PyPy devs apparently feel that the existence of the second vulnerability means it isn't worth your while to fix the original one either. While this mirrors the core team's original position that it was up to applications and frameworks to deal with the problem, conflating the two vulnerabilities like that is still just your perspective, not ours (in addition to all the same measures that limited the impact of the original issue, there are many measures that specifically mitigate the latter one, with process recycling being one of the simplest).</p>

<p dir="ltr">Regards,<br>
Nick.<br></p>
<p dir="ltr">> _______________________________________________<br>
> Python-Dev mailing list<br>
> <a href="mailto:Python-Dev@python.org">Python-Dev@python.org</a><br>
> <a href="https://mail.python.org/mailman/listinfo/python-dev">https://mail.python.org/mailman/listinfo/python-dev</a><br>
> Unsubscribe: <a href="https://mail.python.org/mailman/options/python-dev/ncoghlan%40gmail.com">https://mail.python.org/mailman/options/python-dev/ncoghlan%40gmail.com</a><br>
</p>