<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">

<html lang="en">

<head>

<meta content="text/html; charset=utf-8" http-equiv="Content-Type">

<title>

GitLab

</title>

<style>img {

max-width: 100%; height: auto;

}

</style>

</head>

<body>

<div class="content">

<h3>

Salvatore Bonaccorso pushed to branch master

at <a href="https://salsa.debian.org/security-tracker-team/security-tracker">Debian Security Tracker / security-tracker</a>

</h3>

<h4>

Commits:

</h4>

<ul>

<li>

<strong><a href="https://salsa.debian.org/security-tracker-team/security-tracker/commit/02e6e8b0070f86f7572924bb6b76979cce813156">02e6e8b0</a></strong>

<div>

<span>by Salvatore Bonaccorso</span>

<i>at 2018-11-23T04:57:14Z</i>

</div>

<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Mark CVE-2018-0735 as not-affected for openssl1.0

>From IRC discussion:

        < bigeasy> for CVE-2018-0735 I would remove openssl1.0 because it was fixed as part of CVE-2018-5407. Any objections?

        < jmm_> bigeasy: sounds good

        < carnil> or actually track it as fixed with the same version?

        < bigeasy> DLA did that but upstream never release an advisory for 1.0.2. Only 1.1.0 and 1.1.1. And then they backported the whole function which already included CVE-2018-0735.

        < bigeasy> but if you want I can instead mark in the changelog for 1.0.2. it is up to you guys

        < Q_> bigeasy: As far as I know, those CVEs have nothing to do with each other?

        < bigeasy> well. CVE-2018-0735 does a +1 -> +2 in one place and this function gets copied as as part of CVE-2018-5407.

        < bigeasy> so there is that. however CVE-2018-0735 somehow ended in the securtiy-tracker for 1.0.2/openssl1.0 and I just asked for permission to remove it

        < Q_> Right, the vulnerable code was never present in 1.0.2.

As such add back the src:openssl1.0 source package back but make clear

why it is not affected as the vulnerable code never landed in a 1.0.2

release.

Partially reverts 12615d5f9f41 ("Remove CVE-2018-0735 from openssl1.0").

</pre>

</li>

<li>

<strong><a href="https://salsa.debian.org/security-tracker-team/security-tracker/commit/157bb2011c4dcfc5c630a4f1353b0f8672d80d65">157bb201</a></strong>

<div>

<span>by Salvatore Bonaccorso</span>

<i>at 2018-11-23T04:58:06Z</i>

</div>

<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Four CVEs fixed in openssl1.0 via unstable upload

</pre>

</li>

</ul>

<h4>1 changed file:</h4>

<ul>

<li class="file-stats">

<a href="#4716ef5aa8f2742228ba3b3633215c8b808565e3">

data/CVE/list

</a>

</li>

</ul>

<h4>Changes:</h4>

<li id="4716ef5aa8f2742228ba3b3633215c8b808565e3">

<a href="https://salsa.debian.org/security-tracker-team/security-tracker/compare/78575bd3ae229c18de627e33aeaddd26c0a6af3e...157bb2011c4dcfc5c630a4f1353b0f8672d80d65#4716ef5aa8f2742228ba3b3633215c8b808565e3"><strong>data/CVE/list</strong></a>

<hr>

No preview for this file type

<br>

</li>

</div>

<div class="footer" style="margin-top: 10px;">

<p style="font-size: small; color: #777777;">

—

<br>

<a href="https://salsa.debian.org/security-tracker-team/security-tracker/compare/78575bd3ae229c18de627e33aeaddd26c0a6af3e...157bb2011c4dcfc5c630a4f1353b0f8672d80d65">View it on GitLab</a>.

<br>

You're receiving this email because of your account on salsa.debian.org.

If you'd like to receive fewer emails, you can

adjust your notification settings.

</p>

</div>

</body>

</html>