
<div dir="ltr">Hi<div><br></div><div>Just for your information. I have update the Debian security database with this information too.</div><div>It should be marked as fixed in an hour or so when the data has been synced.</div><div><br></div><div><a href="https://security-tracker.debian.org/tracker/source-package/tigervnc">https://security-tracker.debian.org/tracker/source-package/tigervnc</a><br></div><div><br></div><div>// Ola</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 9 February 2017 at 20:25, Joachim Falk <span dir="ltr"><<a href="mailto:joachim.falk@gmx.de" target="_blank">joachim.falk@gmx.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi all,<br>

<span class=""><br>

Am 09.02.2017 um 17:52 schrieb Ola Lundqvist:<br>

> Hi<br>

><br>

> I think we shall try to fix both. If you can prepare that would be great. I can do the upload.<br>

><br>

> / Ola<br>

><br>

> Sent from a phone<br>

><br>

</span><span class="">> Den 9 feb 2017 17:49 skrev "Joachim Falk" <<a href="mailto:joachim.falk@gmx.de">joachim.falk@gmx.de</a> <mailto:<a href="mailto:joachim.falk@gmx.de">joachim.falk@gmx.de</a>>>:<br>

><br>

>     Dear all,<br>

><br>

>     Am 09.02.2017 um 17:39 schrieb Debian testing watch:<br>

>     > FYI: The status of the tigervnc source package<br>

>     > in Debian's testing distribution has changed.<br>

>     ><br>

>     >   Previous version: 1.7.0+dfsg-2<br>

>     >   Current version:  1.7.0+dfsg-5<br>

>     its time to consider what we do with our two remaining bug fixes and the open<br>

>     security problem in TigerVNC. The two bugfixes are quite self contained and small.<br>

>     Hence, I think we can prepare one new upload with them and the security fix<br>

>     and propose this for unblock to the release team.<br>

</span>have determined that we are not vulnerable to CVE-2016-10207 (<a href="http://seclists.org/oss-sec/2017/q1/312" rel="noreferrer" target="_blank">http://seclists.org/oss-sec/<wbr>2017/q1/312</a>).<br>

The fix has already been cheery picked into TigerVNC 1.7.0 by upstream. See git log below.<br>

<br>

==============================<wbr>==============================<wbr>======================<br>

commit e25272fc74ef09987ccaa33b9bf173<wbr>6397c76fdf<br>

Author: Pierre Ossman <<a href="mailto:ossman@cendio.se">ossman@cendio.se</a>><br>

Date:   Thu Sep 8 12:31:18 2016 +0200<br>

<br>

    TigerVNC 1.7.0<br>

<br>

commit f8af13dd93e6723385811798c35d12<wbr>da70d3641b<br>

Author: Pierre Ossman <<a href="mailto:ossman@cendio.se">ossman@cendio.se</a>><br>

Date:   Tue Aug 23 17:02:58 2016 +0200<br>

<br>

    Proper global init/deinit of GnuTLS<br>

<br>

    These are reference counted so it is important to retain symmetry<br>

    between the calls. Failure to do so will result in bad memory access<br>

    and crashes.<br>

<br>

    (cherry picked from commit 8aa4bc53206c2430bbf0c8f4b642f5<wbr>9a379ee649)<br>

==============================<wbr>==============================<wbr>======================<br>

<br>

Ola, you can upload 1.7.0+dfsg-7 this should close #852639 and #852633.<br>

<br>

Regards,<br>

Joachim<br>

</blockquote></div><br></div>