<div dir="ltr"><div>Hi Paul, Chris,<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Dec 29, 2019 at 4:27 PM Chris Lamb <<a href="mailto:lamby@debian.org">lamby@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> @python-django maintainers what does this mean for the functionality of<br>
> python-django in bullseye? Is it "only" the test that fails and can that<br>
> thus be temporarily disabled?<br>
<br>
I would be amenable to disabling the test in python-django if a<br>
response or fix in sqlite3 is not forthcoming within a few days.<br></blockquote><div> It's a complex situation. SQLite3 upstream recently got fuzzing their Fossil (source code management tool like Git) tree. Several vulnerabilities are found - while upstream say these are only an issue if you allow unauthenticated users enter free form SQL queries against your database. That means only one possible application, the Chromium browser via WebSQL. Indeed, a group of security  researchers found a way to exploit a remote code execution in it, called Magellan 2.0 [1]. It was patched meanwhile and at least Sid is not affected anymore.</div><div>While upstream is quick to fix these reported security problems, there were introduced an other at least once. This is true for other fixes as well, they broke something else then. Maybe this is the reason why 3.31.0 (the next stable SQLite3 release) was first scheduled to 31st of December, this year but it was delayed with a whole month [2] later. Of course I can package the current Fossil tree, I'm not sure how it would work in many scenarios. The upstream testing tools and cases are not open source thus I can't test it. :-/<br></div><div>As I read, I should do the packaging nevertheless or Chris, may you solve it with disabled tests?</div><div><br></div><div>Regards,</div><div>Laszlo/GCS</div><div>[1] <a href="https://blade.tencent.com/magellan2/index_en.html">https://blade.tencent.com/magellan2/index_en.html</a></div><div>[2] <a href="https://sqlite.org/draft/releaselog/3_31_0.html">https://sqlite.org/draft/releaselog/3_31_0.html</a></div></div></div>