<div dir="ltr">Hi Niels and gnutls maintainers<div><br></div><div>I do not think coordination with gnutls is needed. I can not see that gnutls depend on nettle in wheezy.</div><div>I can see that it can potentially do that, but I do not think it do.</div><div><br></div><div>There are no dependencies declared on nettle library and from unstable changelog it looks like this build dependency was first added in gnutls28. Wheezy has gnutls28.</div><div><br></div><div>I may be wrong however.</div><div><br></div><div>Or can it be so that nettle is built in statically and that a build dependency is not needed as some other package has a build dependency so we get it indirectly?</div><div><br></div><div>I'm including the gnutls maintainers to get their opinion.</div><div><br></div><div>// Ola</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Aug 6, 2016 at 8:40 PM, Niels Möller <span dir="ltr"><<a href="mailto:nisse@lysator.liu.se" target="_blank">nisse@lysator.liu.se</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Ola Lundqvist <<a href="mailto:ola@inguza.com">ola@inguza.com</a>> writes:<br>
<br>
> Magnus, Niels and I have been discussing the nettle update due to<br>
> <a href="https://security-tracker.debian.org/tracker/CVE-2016-6489" rel="noreferrer" target="_blank">https://security-tracker.<wbr>debian.org/tracker/CVE-2016-<wbr>6489</a><br>
<br>
</span>Please note that some coordinatoino with gnutls may be needed, to avoid<br>
a denial-of-service problem involving invalid private keys.<br>
<span class=""><br>
> I suggest something like this:<br>
> "Protect against potential timing attacks against exponentiation operations<br>
> as described in CVE-2016-6489 RSA code is vulnerable to cache sharing<br>
> related attacks."<br>
<br>
</span>I'd suggest the more general "side-channel attacks" over "timing<br>
attacks".<br>
<span class="HOEnZb"><font color="#888888"><br>
/Niels<br>
<br>
--<br>
Niels Möller. PGP-encrypted email is preferred. Keyid C0B98E26.<br>
Internet email is subject to wholesale government surveillance.<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div><font face="courier new, monospace" size="1"> --- Inguza Technology AB --- MSc in Information Technology ----</font></div><div><font face="courier new, monospace" size="1">/  <a href="mailto:ola@inguza.com" target="_blank">ola@inguza.com</a>                    Folkebogatan 26            \</font></div><div><font face="courier new, monospace" size="1">|  <a href="mailto:opal@debian.org" target="_blank">opal@debian.org</a>                   654 68 KARLSTAD            |</font></div><div><font face="courier new, monospace" size="1">|  <a href="http://inguza.com/" target="_blank">http://inguza.com/</a>                Mobile: +46 (0)70-332 1551 |</font></div><div><font face="courier new, monospace" size="1">\  gpg/f.p.: 7090 A92B 18FE 7994 0C36 4FE4 18A1 B1CF 0FE5 3DD9  /</font></div><div><font face="courier new, monospace" size="1"> ---------------------------------------------------------------</font></div></div><div><br></div></div></div></div></div>
</div>