<div dir="ltr"><div dir="ltr"><p>Hi Salvatore,</p><p>Thank you for the clarification.</p><p>I have now filed this in the Debian BTS for debconf tracking:</p><p><a href="https://bugs.debian.org/1136114" target="_blank">https://bugs.debian.org/1136114</a></p><p>Best regards,<br>Jeremy</p><br class="gmail-Apple-interchange-newline"></div><br><img width="0" height="0" class="mailtrack-img" alt="" style="display:flex" src="https://mailtrack.io/trace/mail/c5390fc06cdf79c4ee4d8eda8e72f80672396b08.png?u=13483695"><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">El sáb, 9 may 2026 a las 12:11, Salvatore Bonaccorso (<<a href="mailto:carnil@debian.org">carnil@debian.org</a>>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Jeremy,<br>
<br>
On Thu, May 07, 2026 at 11:28:03PM +0000, Jeremy Erazo wrote:<br>
> Hello Debian Security Team,<br>
> <br>
> I'd like to report an input-validation issue in debconf 1.5.92<br>
> (the current version in sid as of 2026-05-07) that I have<br>
> runtime-confirmed in a fresh `debian:sid` container.<br>
> <br>
> I am sending privately first per Debian's security policy; if you<br>
> determine that no embargo is needed, I'm happy to refile the<br>
> hardening fix as a normal BTS bug.  I am not requesting a CVE<br>
> directly in this initial report; I will leave CVE handling to the<br>
> Debian security process.<br>
<br>
debconf-devel is not a private list so this is by now ayway already<br>
public via<br>
<a href="https://alioth-lists.debian.net/pipermail/debconf-devel/2026-May/005526.html" rel="noreferrer" target="_blank">https://alioth-lists.debian.net/pipermail/debconf-devel/2026-May/005526.html</a><br>
.<br>
<br>
Please fill a bug directly agains the package now so that the<br>
maintainers can have a closer look and tracking the bugfix progress as<br>
needed.<br>
<br>
Regards,<br>
Salvatore<br>
</blockquote></div></div>