<div dir="ltr">Snyk, the NVD and Suse have this listed as critical. See here:<br><br><a href="https://security.snyk.io/vuln/SNYK-DEBIAN11-LIBTASN16-3061097">https://security.snyk.io/vuln/SNYK-DEBIAN11-LIBTASN16-3061097</a><br><a href="https://www.suse.com/security/cve/CVE-2021-46848.html">https://www.suse.com/security/cve/CVE-2021-46848.html</a><br><a href="https://nvd.nist.gov/vuln/detail/CVE-2021-46848">https://nvd.nist.gov/vuln/detail/CVE-2021-46848</a><br><br>Do you know why this wouldn't warrant a DSA?<br><br>Because this is a dependency of apt, anyone using Debian docker base images and Snyk is going to see a marked increase in critical vulnerabilities as a result of this.<br><br>I can address this by installing the buster version of the package in my bullseye derived docker images, but Snyk won't recognize that I've patched the issue because it thinks the official debian packages have no fix available.<br><br>Is there anything I can do to help get an official patch available for this sometime before December? This is having an impact on my vulnerability management metrics. </div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Oct 28, 2022 at 10:21 PM Andreas Metzler <<a href="mailto:ametzler@bebt.de">ametzler@bebt.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2022-10-27 Scott Wisniewski via Pkg-gnutls-maint <<a href="mailto:pkg-gnutls-maint@alioth-lists.debian.net" target="_blank">pkg-gnutls-maint@alioth-lists.debian.net</a>> wrote:<br>
> Is there a plan to make libtasn1-6 14.19 available for bullseye in order to<br>
> patch the following CVE:<br>
<br>
> <a href="https://security-tracker.debian.org/tracker/CVE-2021-46848" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2021-46848</a><br>
<br>
> If so, do you have a rough ETA?<br>
<br>
> If not, do you need help with contributions to get the updated version<br>
> backported to bullseye?<br>
<br>
Hello Scott,<br>
<br>
thanks for the heads-up. I will doublecheck with debian-security whether<br>
this is going to be fixed by DSA or a stable update, but assume it will<br>
be the latter.<br>
<br>
Stable updates happen about every 3 months with the last one in<br>
September 2022.<br>
<br>
cu Andreas<br>
</blockquote></div>

<br>
<span style="font-family:Arial;white-space:pre-wrap;background-color:rgb(255,255,255)"><font size="1">NOTICE: This e-mail message and all attachments are intended only for the use of the intended recipient and may contain information that is privileged, confidential, or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that you may not read, copy, distribute, or otherwise use this message or its attachments. If you have received this message in error, please notify the sender immediately by e-mail and delete all copies of the message immediately.</font></span>