<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Aug 7, 2020 at 12:57 AM Karl Berry <<a href="mailto:karl@freefriends.org">karl@freefriends.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Henri,<br>
<br>
(Reducing to tlbuild + Luigi; luatex list is too big for this.)<br>
<br>
    recently several CVEs for Lua (all versions up to 5.4.0) have been<br>
    published:<br>
<br>
How unfortunate, but thanks for the report.<br>
<br>
I trust Luigi will install the fixes in the sources, which is what has<br>
to happen first.<br>
<br>
    Since users of LuaTeX are running potentially untrusted code and all<br>
    of these vulnerabilities are rated with severity high or critical, I<br>
    believe it is necessary to rebuild all affected LuaTeX version,<br>
<br>
I don't agree. The reality is that LuaTeX has been completely insecure<br>
until, perhaps, this year's release. Even with the current release,<br>
running "untrusted code" is always a risk. Installing the fixes for<br>
those CVEs is not going to change that.<br>
<br>
    ideally including those in frozen TeX Live releases.  <br>
<br>
Seems completely infeasible to me, sorry to say.  We have never rebuilt<br>
binaries for anything but the current release before, and I can't see<br>
starting now.  Anyone who wants such after-the-release fixes has always<br>
had to update from the after-the-release repository. Certainly not<br>
ideal, but that is the reality.<br>
<br>
    This is particularly important because there already exist exploits<br>
    for all of these vulnerabilites<br>
<br>
Even more unfortunate.<br>
<br>
I await Luigi's input.  If he feels we should, we could at least rebuild<br>
the luatex binaries for the current release.  --thanks, karl.<br>
</blockquote></div><br clear="all"><div>We have now Lua 5.3.6, but it seems that the security patches are for lua 5.4 only. </div><div><br></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature">luigi<br></div></div>