<div dir="ltr">Hi<div><br></div><div>I had a quick look at libass today regarding CVE-2016-7971.</div><div><br></div><div>When I read the discussion thread about this issue it looks like the problem is not only disputed upstream, but actually disputed by the person reporting the issue. Or rather the person reporting the issue has carified that the problem is not in libass but rather in the application using libass.</div><div><br></div><div>So if you do not mind I think we should both claim that the libass is not vulnerable and also close #840338.</div><div><br></div><div>If I do not hear an objection about this I will do so.</div><div><br></div><div>Best regards</div><div><br></div><div>// Ola</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 12 October 2016 at 11:13, Sebastian Ramacher <span dir="ltr"><<a href="mailto:sramacher@debian.org" target="_blank">sramacher@debian.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi<br>
<span class=""><br>
On 2016-10-12 00:13:30, Markus Koschany wrote:<br>
> On 09.10.2016 23:36, Hugo Lefeuvre wrote:<br>
> > Hello dear maintainer(s),<br>
> ><br>
> > the Debian LTS team would like to fix the security issues which are<br>
> > currently open in the Wheezy version of libass:<br>
> > <a href="https://security-tracker.debian.org/tracker/source-package/libass" rel="noreferrer" target="_blank">https://security-tracker.<wbr>debian.org/tracker/source-<wbr>package/libass</a><br>
> ><br>
> > Would you like to take care of this yourself?<br>
><br>
> [...]<br>
><br>
> Hello,<br>
><br>
> I have prepared a security update for libass in Wheezy but I think the<br>
> patches can be reused for Jessie as well. I have also marked<br>
> CVE-2016-7970 as fixed in Wheezy and it looks to me this also applies to<br>
> Jessie. I'd be glad if you could take a look at the debdiff (attached)<br>
> and tell me what you think about CVE-2016-7970 and CVE-2016-7971 which<br>
> appears to be unfixed, even disputed upstream.<br>
<br>
</span>I have not had the time to look at the CVEs in jessie yet, so I cannot say<br>
anothing regarding the patches for jessie and less so for wheezy.<br>
<br>
Cheers<br>
<span class="HOEnZb"><font color="#888888">--<br>
Sebastian Ramacher<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div><font face="courier new, monospace" size="1"> --- Inguza Technology AB --- MSc in Information Technology ----</font></div><div><font face="courier new, monospace" size="1">/  <a href="mailto:ola@inguza.com" target="_blank">ola@inguza.com</a>                    Folkebogatan 26            \</font></div><div><font face="courier new, monospace" size="1">|  <a href="mailto:opal@debian.org" target="_blank">opal@debian.org</a>                   654 68 KARLSTAD            |</font></div><div><font face="courier new, monospace" size="1">|  <a href="http://inguza.com/" target="_blank">http://inguza.com/</a>                Mobile: +46 (0)70-332 1551 |</font></div><div><font face="courier new, monospace" size="1">\  gpg/f.p.: 7090 A92B 18FE 7994 0C36 4FE4 18A1 B1CF 0FE5 3DD9  /</font></div><div><font face="courier new, monospace" size="1"> ---------------------------------------------------------------</font></div></div><div><br></div></div></div></div></div>
</div>