
Thanks for invaluable info.<div>Anyways, what would be an alternative for random:uniform/1?</div><div>Or is there any patch for the problem?</div><div><br></div><div>/Sungjin</div><div><br></div><div><br><br><div class="gmail_quote">

On Thu, Jun 21, 2012 at 5:58 AM, Claes Wikstrom <span dir="ltr"><<a href="mailto:klacke@hyber.org" target="_blank">klacke@hyber.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

I just posted the following note on the Yaws list, all of you<br>

using Yaws for production with cookie based auth need to take action.<br>

Actually, anyone using random:uniform/1 for anything security related<br>

need to pay attention.<br>

<br>

/klacke<br>

<br>

---------------<br>

<br>

<br>

Folks,<br>

<br>

New yaws release which contains a fix to pretty serious security hole.<br>

The relevant relnote entry is:<br>

<br>

Use crypto:rand_bytes() instead of the cryptographically weak random module. Swedish security consultant and cryptographer Kalle Zetterlund discovered a way to - given a sequence of cookies produced by yaws_session_server - predict the next session id. Thus providing a gaping security hole into yaws servers that use the yaws_session_server to maintain cookie based HTTP sessions (klacke/kallez)<br>


<br>

<br>

It's been almost 6 months since the last release, so this one also contains<br>

a long series of good fixes and improvements from a lot of good people.<br>

<br>

Thanks everyone !!<br>

<br>

<br>

Code, release, relnotes, docs etc at <a href="http://yaws.hyber.org/" target="_blank">http://yaws.hyber.org/</a><br>

<br>

Yaws team -<br>

<br>

/klacke/Steve/Christopher<br>

______________________________<u></u>_________________<br>

erlang-questions mailing list<br>

<a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>

<a href="http://erlang.org/mailman/listinfo/erlang-questions" target="_blank">http://erlang.org/mailman/<u></u>listinfo/erlang-questions</a><br>

</blockquote></div><br><br clear="all"><div><br></div>-- <br>Park, Sungjin<div>-------------------------------------------------------------------------------------------------------------------</div><div>Peculiar travel suggestions are dancing lessons from god.</div>


<div>  -- The Books of Bokonon</div><div>-------------------------------------------------------------------------------------------------------------------</div><br>

</div>