<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;">In <a href="https://www.openwall.com/lists/oss-security/2024/03/29/4">https://www.openwall.com/lists/oss-security/2024/03/29/4</a> it says<div><br></div><blockquote style="margin: 0 0 0 40px; border: none; padding: 0px;"><div><div>== Bug reports ==</div></div><div><div><br></div></div><div><div>Given the apparent upstream involvement I have not reported an upstream</div></div><div><div>bug….</div></div></blockquote><div><div><br></div><div>I suggest not waiting for an upstream release and instead revert our commit and add an epoch line.</div><div><br></div><div>Blair</div><div><br></div><div><blockquote type="cite"><div>On Mar 29, 2024, at 10:50 AM, Rainer Müller <raimue@macports.org> wrote:</div><br class="Apple-interchange-newline"><div><div>On 29/03/2024 18.40, Fred Wright wrote:<br><blockquote type="cite"><br>On Fri, 29 Mar 2024, Frank Dean wrote:<br><br><blockquote type="cite">I received a security announcement on the Debian mailing list [1].  It<br>appears versions 5.6.0 of XY Utils and later may be compromised.  I<br>also found a discussion on Openwall [2].<br><br><br>[1]:<br>https://lists.debian.org/debian-security-announce/2024/msg00057.html<br><https://lists.debian.org/debian-security-announce/2024/msg00057.html><br><br>[2]: https://www.openwall.com/lists/oss-security/2024/03/29/4<br><https://www.openwall.com/lists/oss-security/2024/03/29/4><br><br><br>I'm afraid that's all I know.  Just a heads-up.<br></blockquote></blockquote><br>Wow. That's an awful story.<br><br>The exploit seems to specifically target Linux systems only ("[...] it<br>is likely the backdoor can only work on glibc based systems.").<br><br><blockquote type="cite">In [1] they mention reverting to 5.4.5 to fix it.  It's not 100% clear<br>from that whether 5.4.6 is affected, but it sounds like it's not.  Since<br>MacPorts is currently at 5.4.6, the port is probably OK as long as it<br>doesn't do any overzealous upgrading.<br></blockquote><br>The xz port was updated to 5.6.1 just two days ago:<br>https://github.com/macports/macports-ports/commit/784e59f99e51adbadc663b1b689d66363adf193a<br><br>Based on the current information, the risk seems low for macOS system.<br>Should we still be cautious and revert to version 5.4.6 and bump the<br>epoch to force a downgrade for everyone? Or do we expect a new upstream<br>release soon to sort this out?<br></div></div></blockquote><div><br></div><br><blockquote type="cite"><div><div><br>Rainer<br><br></div></div></blockquote></div><br></div></body></html>