<div dir="ltr"><div dir="ltr">On Sat, 18 May 2019 at 12:18, Hans van Kranenburg <<a href="mailto:hans@knorrie.org">hans@knorrie.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
On 5/17/19 5:21 PM, Wiebe Cazemier wrote:<br>
> Package: xen-hypervisor-4.8-amd64<br>
> Version: 4.8.5+shim4.10.2+xsa282-1+deb9u11<br>
> <br>
> All Xen Hypervisor packages also need patches against the Intel MDS bug,<br>
> same as <a href="https://www.debian.org/security/2019/dsa-4444" rel="noreferrer" target="_blank">https://www.debian.org/security/2019/dsa-4444</a>. <br>
> <br>
> <a href="http://xenbits.xen.org/xsa/advisory-297.html" rel="noreferrer" target="_blank">http://xenbits.xen.org/xsa/advisory-297.html</a><br>
<br>
Yes, they do.<br>
<br>
For Xen 4.8 and 4.11, we're currently waiting for the related changes in<br>
the upstream code branches to complete the regular test process at Xen<br>
(compile, run on all different hardware etc).<br>
<br>
Only at the moment that the advisary is published, the patches are<br>
committed to the public development branches. After that, the tests do<br>
more rigorous regression testing than the developer writing them could<br>
do. We tend to wait for this to succeed. E.g. as part of the packaging<br>
team, I can test that the result boots on amd64, but I have no idea<br>
myself if it also runs on arm etc.<br>
<br>
If you're desperately in need for an intermediate version, and you're<br>
able to build debian packages yourself, then I can point you at<br>
something that I'm running myself now.<br>
<br>
Regards,<br>
Hans<br></blockquote><div><br></div><div>No rush in that sense. The bugreport was precipitated by the lack of any mention of Xen in Ubuntu's en Debian's security announcements, while Qemu and libvirt were.</div><div><br></div><div> </div></div></div>