<div dir="ltr">Hi<div><br></div><div>I missed to include the clamav maintainers. Sorry about that.</div><div><br></div><div>// Ola</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, 31 Mar 2019 at 21:21, Ola Lundqvist <<a href="mailto:ola@inguza.com">ola@inguza.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Dear maintainers, LTS team and Debian Secutiry team<div><br></div><div>I have started to look at the clamav package update due to</div><div>CVE-2019-1787</div><div>CVE-2019-1788</div><div>CVE-2019-1789</div><div>(the other three vulnerabilities are not affecting jessie or stretch as I understand it)</div><div><br></div><div>I have understood that the clamav package is typically updated to the latest version also in stable and oldstable. However when doing so I encountered quite a few things that I would like to ask your advice on.</div><div><br></div><div>First of all to the maintainers. Do you want to handle also LTS (oldstable) and regular security (stable) upload of clamav?</div><div><br></div><div>Question to maintainers and Security team. Should we synchronize the efforts here and have you already started on the stable update?</div><div><br></div><div>If not I have a few questions:</div><div>1) Do you know the binary compatibility between libclamav7 and libclamav9?</div><div> I have noticed that the package in sid produces libclamav9 while the one in jessie provides libclamav7. Do you think this can be an issue?</div><div>2) Do you think backporting the package in sid is better than simply updating to the latest upstream while keeping most scripts in oldstable? I had to copy over the split-archive.sh to be able to generate a proper orig tarball.</div><div>- I personally think the package in sid have a little too much updates to make that safe, especially since it produces new library packages.</div><div>- On the other hand, I had to do some modifications already to make allow the package to be generated and I have not even started building yet. There may be many fixes needed to make this package work in oldstable...</div><div><br></div><div>I guess we cannot generate new library package version, or?</div><div><br></div><div>Best regards</div><div><br></div><div>// Ola</div><div><br></div><div>-- <br><div dir="ltr" class="gmail-m_1999919543507536234gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div><div><font face="courier new, monospace" size="1"> --- Inguza Technology AB --- MSc in Information Technology ----</font></div><div><font face="courier new, monospace" size="1">|  </font><a href="mailto:ola@inguza.com" style="font-family:"courier new",monospace;font-size:x-small" target="_blank">ola@inguza.com</a><span style="font-family:"courier new",monospace;font-size:x-small">                    </span><a href="mailto:opal@debian.org" style="font-family:"courier new",monospace;font-size:x-small" target="_blank">opal@debian.org</a><span style="font-family:"courier new",monospace;font-size:x-small">            |</span></div><div><font face="courier new, monospace" size="1">|  <a href="http://inguza.com/" target="_blank">http://inguza.com/</a>                Mobile: +46 (0)70-332 1551 |</font></div><div><font face="courier new, monospace" size="1"> ---------------------------------------------------------------</font></div></div><div><br></div></div></div></div></div></div></div></div></div></div></div>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div><div><font face="courier new, monospace" size="1"> --- Inguza Technology AB --- MSc in Information Technology ----</font></div><div><font face="courier new, monospace" size="1">|  </font><a href="mailto:ola@inguza.com" style="font-family:"courier new",monospace;font-size:x-small" target="_blank">ola@inguza.com</a><span style="font-family:"courier new",monospace;font-size:x-small">                    </span><a href="mailto:opal@debian.org" style="font-family:"courier new",monospace;font-size:x-small" target="_blank">opal@debian.org</a><span style="font-family:"courier new",monospace;font-size:x-small">            |</span></div><div><font face="courier new, monospace" size="1">|  <a href="http://inguza.com/" target="_blank">http://inguza.com/</a>                Mobile: +46 (0)70-332 1551 |</font></div><div><font face="courier new, monospace" size="1"> ---------------------------------------------------------------</font></div></div><div><br></div></div></div></div></div></div>