<div dir="ltr"><div dir="ltr"><div>Thanks, Vincent, for the information. I would still wait for CVE,</div><div>so we can apply a patch and track vulnerability for other</div><div>Debian versions (stable/oldstable/o-o-stable etc.).</div><div><br></div><div>Regards<br></div><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><br>Anton</div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Am Fr., 17. Sept. 2021 um 01:17 Uhr schrieb Vincent Lefevre <<a href="mailto:vincent@vinc17.net">vincent@vinc17.net</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2021-09-16 21:23:34 +0200, Anton Gladky wrote:<br>
> Thanks for the bug report. We will fix it when CVE (if any) will be<br>
> assigned and upstream patch will be available.<br>
<br>
FYI, an upstream patch is now available here:<br>
<br>
  <a href="https://gmplib.org/list-archives/gmp-bugs/2021-September/005087.html" rel="noreferrer" target="_blank">https://gmplib.org/list-archives/gmp-bugs/2021-September/005087.html</a><br>
<br>
> Though, the integer overflows are not making the package unusable in<br>
> most cases.<br>
<br>
Yes, but they may introduce security issues, in particular here<br>
because the behavior depends on data from a file, which may be<br>
untrusted. That said, here it is probably wise to check that the<br>
size is not too large in order to prevent the address space from<br>
being exhausted.<br>
</blockquote></div></div>