<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    Control: severity -1 normal<br>
    <br>
    <br>
    <div class="moz-cite-prefix">On 20.11.24 06:28, Ajin Deepak wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CAJvOCV=30XaYmDeYs_FmV6B0i8jnT5S+-Zpp53cUmkRoGqcYLw@mail.gmail.com">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div dir="ltr">Found a memory leak in the latest version of dcraw.<br>
      </div>
    </blockquote>
    <br>
    Did you already apply for a CVE number?<br>
    <br>
    <blockquote type="cite"
cite="mid:CAJvOCV=30XaYmDeYs_FmV6B0i8jnT5S+-Zpp53cUmkRoGqcYLw@mail.gmail.com">
      <div dir="ltr"><br>
        <pre>Impact:

Memory leaks can create vulnerabilities. Attackers might exploit them to degrade service (denial of service attacks) or infer information about memory layouts, aiding other exploits.
These also affect the previous versions too.
</pre>
      </div>
    </blockquote>
    <br>
    This is ridiculous! dcraw is a CLI tool. What kind of service do you
    want to degrade? What kind of information can be leaked and on which
    way?<br>
    In the past similar bugs have been been rated as "unimportant" or
    "minor" by the Debian Security Team. What evidence do you have that
    this bug is different?<br>
    <br>
    Setting severity to normal again.<br>
    <br>
      Thorsten<br>
    <br>
  </body>
</html>