<div><div>OOn Tue, Jan 8, 2019 at 19:59 Tom Ammon <<a href="mailto:thomasammon@gmail.com" target="_blank">thomasammon@gmail.com</a>> wrote:</div></div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div><div class="gmail_quote"><div dir="ltr">On Tue, Jan 8, 2019, 11:50 AM  <niels=<a href="mailto:nanog@bakker.net" target="_blank">nanog@bakker.net</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">* <a href="mailto:cunha@dcc.ufmg.br" rel="noreferrer" target="_blank">cunha@dcc.ufmg.br</a> (Italo Cunha) [Tue 08 Jan 2019, 17:42 CET]:<br>
>[A] <a href="https://goo.gl/nJhmx1" rel="noreferrer noreferrer" target="_blank">https://goo.gl/nJhmx1</a><br>
<br>
For the archives, since <a href="http://goo.gl" rel="noreferrer noreferrer" target="_blank">goo.gl</a> will cease to exist soon, this links to<br>
<a href="https://docs.google.com/spreadsheets/d/1U42-HCi3RzXkqVxd8e2yLdK9okFZl77tWZv13EsEzO0/htmlview" rel="noreferrer noreferrer" target="_blank">https://docs.google.com/spreadsheets/d/1U42-HCi3RzXkqVxd8e2yLdK9okFZl77tWZv13EsEzO0/htmlview</a><br>
<br>
After seeing this initial result I'm wondering why the researchers <br>
couldn't set up their own sandbox first before breaking code on the <br>
internet.  I believe FRR is a free download and comes with GNU autoconf.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">There are a fair number of open source BGP implementations now. It would require additional effort to test all of them.</div></div></blockquote><div dir="auto"><br></div></div><div dir="auto"><br></div><div><div dir="auto">Not just every implementation, but also every version, and every configuration permutation. This type of black box testing is not scalable. It is not feasible work, nor the job of these researchers. It’s the job of the software the developer to ensure the product is standards compliant.</div><div dir="auto"><br></div><div dir="auto">In the case of FRR:</div><div dir="auto"><br></div><div dir="auto">- improper use of the 0xFF codepoint</div><div dir="auto">- FRR is not compliant with RFC 7606 (the devs indicated they will be working on this)</div><div dir="auto"><br></div><div dir="auto">Ultimately, the developers are responsible for their product, not random other internet users. This situation was avoidable if standards had been followed.</div><div dir="auto"><br></div><div dir="auto">I’m happy the FRR developers quickly identified the issue and published a fix. We can now all move on.</div><div dir="auto"><br></div><div dir="auto">Kind regards,</div><div dir="auto"><br></div><div dir="auto">Job</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div dir="auto"></div></div><div dir="auto"><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>
</blockquote>
</div>