<div dir="ltr">Thanks for your reply. I don’t have a way to test the vulnerability either. I’d trust Pavel’s assessment and call this done.</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jun 7, 2017 at 7:10 AM, Salvatore Bonaccorso <span dir="ltr"><<a href="mailto:carnil@debian.org" target="_blank">carnil@debian.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Michael<br>
<br>
Looks it was good we had first the issue settle a bit with respect for<br>
a jessie(-security) upload:<br>
<span class=""><br>
On Thu, Jun 01, 2017 at 11:09:17PM +0200, Michael Stapelberg wrote:<br>
> The original question of how to proceed still stands. I sent the patch in<br>
> my previous message; do you want me to upload it, or do you want to upload<br>
> it? If I should do it, let me state for the record that I have no idea what<br>
> I’m doing (I never uploaded to anything but unstable/experimental).<br>
<br>
</span>I learned of <a href="http://www.openwall.com/lists/oss-security/2017/06/06/5" rel="noreferrer" target="_blank">http://www.openwall.com/lists/<wbr>oss-security/2017/06/06/5</a> .<br>
Can you confirm, is this assessment correct (for us as well in<br>
stable)? We have a 2.2.5 based version in jessie, and according to<br>
upstream for the EOL versions only 2.1.1 through 2.1.7 are affected by<br>
the problem.<br>
<br>
I do not have a way to test the vulnerability on my own.<br>
<br>
Regards,<br>
Salvatore<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Best regards,<br>Michael</div>
</div>