<div dir="ltr">Sorry about that Karl. Where I look for a contact, it mention this as the place to report "bugs", it was not every specific :D, I should have dig more.<div><br></div><div>Thanks again</div><div>Nico</div><div>PS: Please let me know when you have a patch</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 18 Jul 2019 at 18:12, Karl Berry <<a href="mailto:karl@freefriends.org">karl@freefriends.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">    There is a buffer overflow on the way axohelp handle the .ax1 files.<br>
<br>
Thanks for the report. I forwarded it to the axohelp author, John<br>
Collins.  I expect one of us will fix it soon (in the sources at least),<br>
one way or another.<br>
<br>
    coordinate my disclosure<br>
<br>
Well, since you sent the report to a public list instead of our<br>
"security" list (<a href="mailto:tlsecurity@tug.org" target="_blank">tlsecurity@tug.org</a>), it is already disclosed. Not that<br>
I think this particular vulnerability is drop-everything crucial;<br>
axohelp is rarely used and has no special privileges.<br>
<br>
Thanks again. --karl<br>
<br>
</blockquote></div>