
<div dir="ltr">Hi again<div><br></div><div>I have now compared the 0.100.2 version in stretch to the version 0.100.3 in stretch updates.</div><div>I can then see that most of the changes that I'm worried about is not included.</div><div><br></div><div>This means that I will take the .orig file and include a sub-set of the updates.</div><div>The remaining updates will be:</div><div>- Symbol updates (unavoidable I think).</div><div>- Copyright update (not sure if it is necessary but I'll include it anyway)</div><div><br></div><div>The rest will not be updated.</div><div><br></div><div>Best regards</div><div><br></div><div>// Ola</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 15 Apr 2019 at 20:00, Ola Lundqvist <<a href="mailto:ola@inguza.com">ola@inguza.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi Scott<div><br></div><div>I have now walked through the difference in the debian directories between the version in jessie and stretch updates.</div><div>I think there is more work than just a simple changelog update.</div><div><br></div><div>1) The changelog file contain a lot of changes. I wonder how we generally should it. If I backport a package from current stable should I keep that changelog and just add one entry or should I pretent that the jessie version still apply and add one entry from that one... Not sure myself.</div><div>2) /lib/systemd/system/clamav-daemon.socket is no longer installed and a patch introduced to not depend on it</div><div>3) Config file moved from /etc/systemd/system/clamav-daemon.socket.d/extend.conf to /etc/systemd/system/clamav-daemon.service.d/extend.conf</div><div>4) Changes in postinst. Not sure if it is backwards compatible or not yet. Preliminary not.</div><div>5) Debhelper compat updated. Should be ok.</div><div>6) Build dependency changes.</div><div>7) clamav-dbg package no longer provided</div><div>8) so files moved from /usr/lib/libclamav.so to /usr/lib/xxx/libclamav.so and pkgconfig moved accordingly.</div><div>9) Support for llvm introduced. Should probably be ok.</div><div>10) A LOT of symbols changed. They are delared private so it should be ok. But you never know.</div><div><br></div><div>It would be helpful if you can help me judge if any of the above means backwards incompatibility.</div><div><br></div><div>I'm most worried about the following:</div><div>- Socket change</div><div>- Config file change</div><div>- Postinst change</div><div>- clamav-dbg</div><div>- Symbol changes</div><div><br></div><div>Thank you in advance</div><div><br></div><div>// Ola</div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 1 Apr 2019 at 15:13, Scott Kitterman <<a href="mailto:debian@kitterman.com" target="_blank">debian@kitterman.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I believe you've misunderstood.<br>

<br>

The version in stable is 0.100.3 and does not have a soname bump (nor does it <br>

need one).  You should be able to update the LTS with that package with little <br>

more (maybe no more) than an updated changelog.<br>

<br>

Scott K<br>

<br>

On Monday, April 01, 2019 02:46:34 PM Ola Lundqvist wrote:<br>

> Hi Scott and LTS team<br>

> <br>

> Thank you. I'll see if I can backport the required fixes. That may solve<br>

> the library issue.<br>

> <br>

> Alternatively we state that clamav is not supported. Maybe someone in the<br>

> LTS team can advice on that.<br>

> <br>

> Best regards<br>

> <br>

> // Ola<br>

> <br>

> On Sun, 31 Mar 2019 at 22:35, Scott Kitterman <<a href="mailto:debian@kitterman.com" target="_blank">debian@kitterman.com</a>> wrote:<br>

> > Comments inline.<br>

> > <br>

> > On Sunday, March 31, 2019 09:37:46 PM Ola Lundqvist wrote:<br>

> > > Hi<br>

> > > <br>

> > > I missed to include the clamav maintainers. Sorry about that.<br>

> > > <br>

> > > // Ola<br>

> > > <br>

> > > On Sun, 31 Mar 2019 at 21:21, Ola Lundqvist <<a href="mailto:ola@inguza.com" target="_blank">ola@inguza.com</a>> wrote:<br>

> > > > Dear maintainers, LTS team and Debian Secutiry team<br>

> > > > <br>

> > > > I have started to look at the clamav package update due to<br>

> > > > CVE-2019-1787<br>

> > > > CVE-2019-1788<br>

> > > > CVE-2019-1789<br>

> > > > (the other three vulnerabilities are not affecting jessie or stretch<br>

> > <br>

> > as I<br>

> > <br>

> > > > understand it)<br>

> > <br>

> > That's correct.<br>

> > <br>

> > > > I have understood that the clamav package is typically updated to the<br>

> > > > latest version also in stable and oldstable. However when doing so I<br>

> > > > encountered quite a few things that I would like to ask your advice<br>

> > > > on.<br>

> > > > <br>

> > > > First of all to the maintainers. Do you want to handle also LTS<br>

> > > > (oldstable) and regular security (stable) upload of clamav?<br>

> > <br>

> > Stable is already done through stable proposed updates (which is the<br>

> > normal<br>

> > path for clamav).  We leave the LTS releases to the LTS team.  Base your<br>

> > work<br>

> > on what's in stable.<br>

> > <br>

> > > > Question to maintainers and Security team. Should we synchronize the<br>

> > > > efforts here and have you already started on the stable update?<br>

> > > > <br>

> > > > If not I have a few questions:<br>

> > > > 1) Do you know the binary compatibility between libclamav7 and<br>

> > <br>

> > libclamav9?<br>

> > <br>

> > > >  I have noticed that the package in sid produces libclamav9 while the<br>

> > <br>

> > one<br>

> > <br>

> > > > in jessie provides libclamav7. Do you think this can be an issue?<br>

> > <br>

> > Yes.  It's guaranteed to be an issue.  We have a stable transition<br>

> > prepared<br>

> > and will do it (once the srm blesses) after the next point release in<br>

> > April.<br>

> > Note that the security team doesn't support clamav.<br>

> > <br>

> > > > 2) Do you think backporting the package in sid is better than simply<br>

> > > > updating to the latest upstream while keeping most scripts in<br>

> > <br>

> > oldstable? I<br>

> > <br>

> > > > had to copy over the split-archive.sh to be able to generate a proper<br>

> > <br>

> > orig<br>

> > <br>

> > > > tarball.<br>

> > <br>

> > No.  Use what's in stable proposed updates.<br>

> > <br>

> > > > - I personally think the package in sid have a little too much updates<br>

> > <br>

> > to<br>

> > <br>

> > > > make that safe, especially since it produces new library packages.<br>

> > <br>

> > Agreed.  That would definitely be a bad idea.<br>

> > <br>

> > > > - On the other hand, I had to do some modifications already to make<br>

> > <br>

> > allow<br>

> > <br>

> > > > the package to be generated and I have not even started building yet.<br>

> > > > There<br>

> > > > may be many fixes needed to make this package work in oldstable...<br>

> > <br>

> > I suspect that what's in stable will work in oldstable, but I haven't<br>

> > tried<br>

> > it.  It'll certainly take less work than what's in sid.<br>

> > <br>

> > > > I guess we cannot generate new library package version, or?<br>

> > <br>

> > Generally one does not, but for clamav you kind of have to at some point.<br>

> > Note that for libclamav7 -> libclamav9 there are also API changes, so<br>

> > libclamav-dev reverse builld-depends need patching in addition to<br>

> > rebuilding.<br>

> > Once we've done that in stable, it should be easy enough to adapt for<br>

> > oldstable when the time comes.  Don't worry about it now.<br>

> > <br>

> > Scott K<br>

<br>

</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail-m_609685857221588494gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div><div><font face="courier new, monospace" size="1"> --- Inguza Technology AB --- MSc in Information Technology ----</font></div><div><font face="courier new, monospace" size="1">|  </font><a href="mailto:ola@inguza.com" style="font-family:"courier new",monospace;font-size:x-small" target="_blank">ola@inguza.com</a><span style="font-family:"courier new",monospace;font-size:x-small">                    </span><a href="mailto:opal@debian.org" style="font-family:"courier new",monospace;font-size:x-small" target="_blank">opal@debian.org</a><span style="font-family:"courier new",monospace;font-size:x-small">            |</span></div><div><font face="courier new, monospace" size="1">|  <a href="http://inguza.com/" target="_blank">http://inguza.com/</a>                Mobile: +46 (0)70-332 1551 |</font></div><div><font face="courier new, monospace" size="1"> ---------------------------------------------------------------</font></div></div><div><br></div></div></div></div></div></div>

</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div><div><font face="courier new, monospace" size="1"> --- Inguza Technology AB --- MSc in Information Technology ----</font></div><div><font face="courier new, monospace" size="1">|  </font><a href="mailto:ola@inguza.com" style="font-family:"courier new",monospace;font-size:x-small" target="_blank">ola@inguza.com</a><span style="font-family:"courier new",monospace;font-size:x-small">                    </span><a href="mailto:opal@debian.org" style="font-family:"courier new",monospace;font-size:x-small" target="_blank">opal@debian.org</a><span style="font-family:"courier new",monospace;font-size:x-small">            |</span></div><div><font face="courier new, monospace" size="1">|  <a href="http://inguza.com/" target="_blank">http://inguza.com/</a>                Mobile: +46 (0)70-332 1551 |</font></div><div><font face="courier new, monospace" size="1"> ---------------------------------------------------------------</font></div></div><div><br></div></div></div></div></div></div>