<div dir="ltr"><div>Dear Mr. Kitterman and Python Modules Team,</div><div><br></div><div>I am writing to you as you are mentioned as a maintainers of <i><b>python-dns</b> </i>package.</div><div><br></div><div>I did some research about Debian vulnerability data and found an issue. <br></div><div><br></div><div>If I check <a href="https://security-tracker.debian.org/tracker/CVE-2008-1447" target="_blank">CVE-2008-1447</a> with Debian Security Tracker page, I will see that fixed version for python-dns is <b>2.3.1-5</b> (the same version is on <a href="https://security-tracker.debian.org/tracker/data/json" target="_blank">page of JSON-formatted security data</a>)</div><div><br></div><div>But information of this CVE in the file of <a href="https://www.debian.org/security/oval/oval-definitions-buster.xml" target="_blank">OVAL data for Buster</a> is different. Definition of that CVE starts from  line 74982 in that file. Criterion below tells that <i><b>None DPKG is earlier than 2.43-1</b>. <br></i></div><div><i></i></div><div><i><br></i> </div><div>My questions are:</div><div>1. Should I consider fixed version 2.43-1 for python-dns?</div><div>2. Why OVAL criterion references to "None" object? How should I interpret this?</div><div>3. Should I rely on OVAL files?<br></div><div><br></div><div><span lang="en"><span><span>
Hoping for an answer.</span></span></span></div><font color="#888888"><font color="#888888"><font color="#888888">-- <br><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><div style="font-size:small">Andrey Nikonov,</div><div style="font-size:small">Security engineer,</div><div style="font-size:small">"Frodex" Ltd.<br></div></div><div>Ufa, Russia.</div></div></div></div></div></font></font></font></div>