Thanks for invaluable info.<div>Anyways, what would be an alternative for random:uniform/1?</div><div>Or is there any patch for the problem?</div><div><br></div><div>/Sungjin</div><div><br></div><div><br><br><div class="gmail_quote">
On Thu, Jun 21, 2012 at 5:58 AM, Claes Wikstrom <span dir="ltr"><<a href="mailto:klacke@hyber.org" target="_blank">klacke@hyber.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
I just posted the following note on the Yaws list, all of you<br>
using Yaws for production with cookie based auth need to take action.<br>
Actually, anyone using random:uniform/1 for anything security related<br>
need to pay attention.<br>
<br>
/klacke<br>
<br>
---------------<br>
<br>
<br>
Folks,<br>
<br>
New yaws release which contains a fix to pretty serious security hole.<br>
The relevant relnote entry is:<br>
<br>
Use crypto:rand_bytes() instead of the cryptographically weak random module. Swedish security consultant and cryptographer Kalle Zetterlund discovered a way to - given a sequence of cookies produced by yaws_session_server - predict the next session id. Thus providing a gaping security hole into yaws servers that use the yaws_session_server to maintain cookie based HTTP sessions (klacke/kallez)<br>


<br>
<br>
It's been almost 6 months since the last release, so this one also contains<br>
a long series of good fixes and improvements from a lot of good people.<br>
<br>
Thanks everyone !!<br>
<br>
<br>
Code, release, relnotes, docs etc at <a href="http://yaws.hyber.org/" target="_blank">http://yaws.hyber.org/</a><br>
<br>
Yaws team -<br>
<br>
/klacke/Steve/Christopher<br>
______________________________<u></u>_________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" target="_blank">http://erlang.org/mailman/<u></u>listinfo/erlang-questions</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Park, Sungjin<div>-------------------------------------------------------------------------------------------------------------------</div><div>Peculiar travel suggestions are dancing lessons from god.</div>

<div>  -- The Books of Bokonon</div><div>-------------------------------------------------------------------------------------------------------------------</div><br>
</div>