Gli sviluppatori Debian sono di nuovo inciampati in un problema di sicurezza insorto a causa delle modifiche da loro apportate ad un pacchetto: dopo OpenSSL questa volta è toccato a Suhosin, la nota versione hardened di PHP.
Come la precedente volta, anche in questo caso all´origine del bug c´è un problema di comunicazione: gli sviluppatori avevano infatti individuato un´incompatibilità tra Suhosin e alcune architetture hardware, proponendo una patch a Stefan Esser (leader del progetto).
Non ricevendo nessuna risposta da Esser, gli sviluppatori hanno proceduto con l´applicazione della patch, correggendo quindi i problemi di incompatibilità riscontrati ma, involontariamente, disattivando una misura di sicurezza di Suhosin.
Esser è venuto a conoscenza del problema dopo aver letto le mail presenti nella sua casella di posta (una casella secondaria che non controllava da un paio di mesi) quando ormai la patch degli sviluppatori Debian era già stata applicata.
Stando a quanto riportato da The H Security la sua reazione iniziale non sarebbe stata delle migliori e sarebbe stata seguita da uno scambio di accuse reciproche; successivamente, probabilmente a mente lucida, Esser ha provveduto ad illustrare in maniera più obiettiva la situazione, eliminando alcune parti del suo post e disattivando i commenti.
Una soluzione condivisa, comunque, non è ancora stata raggiunta.