Personnellement, je n'ai toujours pas compris comment exploiter la faille qui viendrait d'une extension activée à la compilation dans OpenSSL.
Si j'étais paranoïac, je dirais que c'est une fausse faille tout ça pour qu'on mette à jour nos certificats et que l'on active PFS avec pour le coup une faille incluse exploitable par la NSA.
Mais je ne suis pas comme cela, la dernière fois que j'ai ajouté de l'aléa dans une fonction cryptographique, cela s'est bien
passé. ;-)
En y regardant de plus près, la description sur
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160 et sur
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 annoncent un score medium de faille, une exploitabilité aisée. Au final, je ne sais quoi penser ?