<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><meta charset="UTF-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><blockquote type="cite" class=""><div class=""><br class="Apple-interchange-newline">On Nov 2, 2022, at 2:56 PM, Clemens Lang <<a href="mailto:cal@macports.org" class="">cal@macports.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="">On Tue, Nov 01, 2022 at 07:04:40PM +0100, Kirill A. Korinsky via macports-dev wrote:<br class=""><blockquote type="cite" class="">OpenSSL team released a fix for found CVE:<br class=""><a href="https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/" class="">https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/</a><br class=""><br class=""><br class="">May I ask someone to review a PR to fix this CVE?<br class=""><br class=""><a href="https://github.com/macports/macports-ports/pull/16545" class="">https://github.com/macports/macports-ports/pull/16545</a><br class=""><br class="">I think that this CVE should be a reason to merge such PR ASAP without<br class="">maintainers confirmation.<br class=""></blockquote><br class="">I deal with OpenSSL for a living at my day job, so I was aware of this.<br class=""><br class="">November 1st was a public holiday where I live, so I did not spend the<br class="">entire day at my desk. I had planned to do the update in the CET evening<br class="">hours of November 1st, but your PR beat me to it.<br class=""><br class=""><br class="">On Tue, Nov 01, 2022 at 04:45:26PM -0400, Daniel J. Luke wrote:<br class=""><blockquote type="cite" class="">I don't mind waiting a bit for the maintainer for this one (especially<br class="">since it looks like it's already been approved and merged by the<br class="">maintainer :) ), but the policy that allows waiving maintainer<br class="">permission was intended to specifically cover security issues (ie. we<br class="">discussed this when creating the policy and decided that point that<br class="">says 'A critical port is broken that affects many users' covered<br class="">security fixes to ports).<br class=""></blockquote><br class="">This is correct. We have previously merged security fixes without<br class="">waiting for the maintainer. This would also have been OK in this<br class="">instance.<br class=""><br class="">Speaking of this CVE… we don't actually build with the common set of<br class="">security flags in MacPorts, do we? We should probably look into getting<br class="">the common set -fstack-protector-strong -fstack-clash-protection -fPIE<br class="">(probably not required on modern macOS?) -D_FORTIFY_SOURCE=3<br class="">-fcf-protection=full (on x86_64) and maybe -Wl,-bind_at_load<br class="">-Wl,-read_only_stubs.<br class=""></div></div></blockquote><div class=""><br class=""></div><div class="">I’ve been thinking the same thing as I compile packages on my FreeBSD machines and see these flags over and over again.</div><br class=""><blockquote type="cite" class=""><div class=""><div class="">Does anybody have a good overview of what the recommended set of<br class="">security compiler flags is on macOS? Quick testing suggests everything<br class="">but -fstack-protector-strong and -D_FORTIFY_SOURCE is already on by<br class="">default.<br class=""></div></div></blockquote></div><br class="" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; text-decoration: none;"><div class="" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; text-decoration: none;"><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">Marius</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">--</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">Marius Schamschula</div></div></body></html>