<tt><font size=2>> That is strange. You have mentioned in your previous
email that you<br>> downgraded tomcat7 in Wheezy to version 7.0.28-4+deb7u4. Are you sure<br>> that you are not comparing this version with 7.0.28-4+deb7u10? Why<br>> didn't you downgrade to 7.0.28-4+deb7u9 in the first place? This would<br>> explain the diff output because we had to make some bigger changes
to<br>> the http parser classes in one of the previous security updates before<br>> +deb7u9 in Wheezy.</font></tt><br><br><tt><font size=2>We downgraded to +deb7u4 because it was the last known
good version on</font></tt><br><tt><font size=2>the system where we first noticed the problem.  +deb8u9
is not available</font></tt><br><tt><font size=2>on the security update server:</font></tt><br><br><tt><font size=2>    </font></tt><a href=http://security.debian.org/pool/updates/main/t/tomcat7/><tt><font size=2 color=blue>http://security.debian.org/pool/updates/main/t/tomcat7/</font></tt></a><br><br><tt><font size=2>I guess we can distill my last email down a little.
 Let's focus on </font></tt><br><tt><font size=2>PermissionCheck.class.  It is definitely in the
+deb7u10 package.  You </font></tt><br><tt><font size=2>can use the following steps to confirm:</font></tt><br><br><tt><font size=2>First, confirm that the system has +deb7u10:</font></tt><br><br><tt><font size=2>        $ dpkg-query -W
-f '${Version}\n' libtomcat7-java</font></tt><br><tt><font size=2>        7.0.28-4+deb7u10</font></tt><br><br><tt><font size=2>Next, confirm that the PermissionCheck.class file
is in the tomcat-coyote.jar </font></tt><br><tt><font size=2>file:</font></tt><br><br><tt><font size=2>        $ unzip -t /usr/share/tomcat7/lib/tomcat-coyote.jar
| grep PermissionCheck</font></tt><br><tt><font size=2>        testing: org/apache/tomcat/util/security/PermissionCheck.class
  OK</font></tt><br><br><tt><font size=2>So I would expect the corresponding java file to be
in the source repo</font></tt><br><tt><font size=2>at that tag, but it is not:</font></tt><br><br><tt><font size=2>        $ git clone </font></tt><a href="https://anonscm.debian.org/git/pkg-java/tomcat7.git"><tt><font size=2 color=blue>https://anonscm.debian.org/git/pkg-java/tomcat7.git</font></tt></a><br><tt><font size=2>       ...</font></tt><br><tt><font size=2>       $ cd tomcat7</font></tt><br><tt><font size=2>       $ git checkout debian/7.0.28-4+deb7u10</font></tt><br><tt><font size=2>       ...</font></tt><br><tt><font size=2>       $ find . -name PermissionCheck.java</font></tt><br><br><tt><font size=2>The find command finds shows nothing, but the official
package contains</font></tt><br><tt><font size=2>the class file.  Can you explain why?</font></tt><br><br><tt><font size=2>Now, if you checkout the "master" branch:</font></tt><br><br><tt><font size=2>        $ git checkout
master</font></tt><br><tt><font size=2>       ...</font></tt><br><br><tt><font size=2>And see if the PermissionCheck.java file exists:</font></tt><br><br><tt><font size=2>       $ find . -name PermissionCheck.*</font></tt><br><tt><font size=2>        ./java/org/apache/tomcat/util/security/PermissionCheck.java</font></tt><br><br><tt><font size=2>So the file exists on the master branch for tomcat7,
but not at the</font></tt><br><tt><font size=2>debian/7.0.28-4+deb7u10 tag.</font></tt><br><br><tt><font size=2>As I see it, these are the possibilities:</font></tt><br><br><tt><font size=2>a) The build was done from a tag other than debian/7.0.28-4+deb7u10.</font></tt><br><tt><font size=2>b) It was done from that tag, but there were other
.class files</font></tt><br><tt><font size=2>present in the output directory (i.e. it wasn't a
clean build).</font></tt><br><br><tt><font size=2>Any thoughts?</font></tt><br><br><tt><font size=2>Thanks!</font></tt><br><br><tt><font size=2>Allen</font></tt><br><BR>