<div dir="ltr"><div dir="ltr"><div dir="ltr">Hey,<div><br></div><div><a href="https://security-tracker.debian.org/tracker/CVE-2019-6486">https://security-tracker.debian.org/tracker/CVE-2019-6486</a> was announced a few hours ago.</div><div><br></div><div>I have uploaded golang-1.11 1.11.5 to unstable with a fix, so unstable and testing should have the fixed compiler soon.</div><div><br></div><div>There are still a few tasks left to do, though:</div><div><br></div><div>1. The versions in stretch (stable) and jessie (oldstable) are also affected. I can never remember the correct process, or which versions we support, and our git packaging repository is way out of sync with what’s on the mirrors (*sigh*).</div><div><br></div><div>If someone (from security-team?) could help upload a fixed version for stable (and oldstable?), that’d be much appreciated!</div><div><br></div><div>The patch at <a href="https://github.com/golang/go/commit/42b42f71">https://github.com/golang/go/commit/42b42f71</a> applies to stretch, and applies to jessie when fixing the file path (src/crypto → src/pkg/crypto).</div><div><br></div><div>2. We’ll need to schedule binNMUs for all reverse dependencies of golang-x.y (e.g. golang-1.11 in unstable/testing) which result in arch-specific packages (arch:all packages just ship code, but arch:any packages might ship compiled copies of crypto/elliptic).</div><div><br></div><div>Last time, pochu@ (cc'ed) helpfully scheduled binNMUs. pochu, would you be able to help this time, too?</div><div><br></div><div>Thanks,<br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Best regards,<br>Michael</div></div></div></div></div>