<div dir="ltr"><p id="gmail-yui_3_10_3_1_1490956363589_1436" style="margin:0px 0px 1.2em;padding:0px;width:auto;max-width:45em;color:rgb(51,51,51);font-family:monospace;font-size:12px">Hi developers:<br>  Nowdays we made a large scale security static analysis on several open source projects,and found some mistakes in <a href="http://elog-3.1.1-1.In">elog-3.1.1-1.In</a> the@src/elog.c:300:<br>   int ssl_connect(int sock, SSL ** ssl_con)<br>  {<br>     SSL_METHOD *meth;<br>     SSL_CTX *ctx;</p><p style="margin:0px 0px 1.2em;padding:0px;width:auto;max-width:45em;color:rgb(51,51,51);font-family:monospace;font-size:12px">     SSL_<wbr>library_<wbr>init();<br>     SSL_<wbr>load_error_<wbr>strings(<wbr>);</p><p style="margin:0px 0px 1.2em;padding:0px;width:auto;max-width:45em;color:rgb(51,51,51);font-family:monospace;font-size:12px">     meth = (SSL_METHOD *) TLSv1_method();<br>     ctx = SSL_CTX_new(meth);</p><p style="margin:0px 0px 1.2em;padding:0px;width:auto;max-width:45em;color:rgb(51,51,51);font-family:monospace;font-size:12px">     *ssl_con = SSL_new(ctx);<br>     SSL_<wbr>set_fd(<wbr>*ssl_con, sock);<br>     if (SSL_connect(<wbr>*ssl_con) <= 0)<br>      return -1;</p><p style="margin:0px 0px 1.2em;padding:0px;width:auto;max-width:45em;color:rgb(51,51,51);font-family:monospace;font-size:12px">    return 0;<br>  }<br>   When finish the SSL connect, you immedicately start to execute read/write operation without verify certificate,which can lead to MITM attack and cause leakage of sensitive data.We recommand you add verify operation such as SSL_CTX_set_verify or SSL_get_<wbr>peer_certificat<wbr>e to guarantee the security.We have send the bug report to Ubuntu launchpad,and also inform you of such news.Here are the link:</p><p style="margin:0px 0px 1.2em;padding:0px;width:auto;max-width:45em"><font color="#333333" face="monospace"><span style="font-size:12px"><a href="https://bugs.launchpad.net/ubuntu/+source/elog/+bug/1677558">https://bugs.launchpad.net/ubuntu/+source/elog/+bug/1677558</a></span></font><br></p></div>