<div dir="ltr">Dear all,<br><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Sun, Dec 18, 2016 at 10:47:05PM +0100, Markus Koschany wrote:<br>
> Hello dear maintainer(s),<br>
><br>
> the Debian LTS team would like to fix the security issues which are<br>
> currently open in the Wheezy version of dcmtk:<br>
> <a href="https://security-tracker.debian.org/tracker/CVE-2015-8979" rel="noreferrer" target="_blank">https://security-tracker.<wbr>debian.org/tracker/CVE-2015-<wbr>8979</a><br>
><br>
> Would you like to take care of this yourself?<br>
<br>
I personally feel not capable to do so and Mathieu left the team - so I<br>
would be astonished (but definitely happy!) if he would step in for this<br>
task.  If you do not receive a positive response from Gert I doubt that<br>
anybody else from the team would take over.</blockquote><div><br></div><div>I personally consider this issue as severe, as any DCMTK 3.6.0-based DICOM SCP (server) is affected (including the well-known Horos/OsiriX viewer).</div><div><br></div><div>Orthanc was also affected by this problem. Orthanc 1.2.0 was released last week in order to fix this vulnerability in its static builds (notably for Windows and OS X). The patch we applied can be found at the following location:</div><div><a href="https://bitbucket.org/sjodogne/orthanc/src/eb363ec95d863989abf5a59174ff3164c2831f2e/Resources/Patches/dcmtk-3.6.0-dulparse-vulnerability.patch?at=default&fileviewer=file-view-default">https://bitbucket.org/sjodogne/orthanc/src/eb363ec95d863989abf5a59174ff3164c2831f2e/Resources/Patches/dcmtk-3.6.0-dulparse-vulnerability.patch?at=default&fileviewer=file-view-default</a><br></div><div> </div><div>As this patch is very simple (six lines of code), it should be easy to backport it to the DCMTK Debian package.<br></div><div><br></div><div>Unfortunately, I do not know how to fix such issues in Wheezy, and I am currently under heavy pressure wrt. the Orthanc upstream project... maybe someone could do this backporting job?</div><div><br></div><div>HTH,</div><div>Sébastien-</div><div><br></div></div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Sébastien Jodogne<br>Mail: <a href="mailto:s.jodogne@gmail.com" target="_blank">s.jodogne@gmail.com</a><br>Web: <a href="http://www.sjodogne.be/" target="_blank">http://www.sjodogne.be/</a><div>Twitter: <a href="https://twitter.com/sjodogne" target="_blank">https://twitter.com/sjodogne</a><br></div></div></div>
</div></div>