<div dir="ltr">Hello,<div><br></div><div>I realize we are getting close to a release for Jessie, however I feel that a security bug that allows changing your user id to 0 using default configuration from our stable release deserves a security fix, or at least a security notification asking administrators to check that they are not vulnerable.</div><div><br></div><div>(I only found out about this because it was mentioned at a talk at LCA2015)</div><div><br></div><div>Please consider stable users when fixing security issues in unstable.</div><div><br></div><div><a href="https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=761406">https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=761406</a></div><div><br></div><div>The latest version for wheezy is 2.4.31-1+nmu2, which does have this problem.</div><div><br></div><div>Thanks<br>-- <br><div class="gmail_signature">Brian May <<a href="mailto:brian@microcomaustralia.com.au" target="_blank">brian@microcomaustralia.com.au</a>></div>
</div></div>