<div dir="ltr"><div dir="ltr">On Tue, Mar 1, 2022 at 11:45 PM Ben Cooksley <<a href="mailto:bcooksley@kde.org">bcooksley@kde.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">On Sat, Feb 19, 2022 at 10:11 PM Ben Cooksley <<a href="mailto:bcooksley@kde.org" target="_blank">bcooksley@kde.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Dear Distributions,</div></blockquote><div><br></div><div>Hi all,</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br></div><div>It has recently come to my attention that some distributions have missed emails sent to this list recently regarding issues with Discover/KNS. As these issues are rather critical I am now requiring all distributions to explicitly acknowledge receipt of these emails and to declare the actions they have taken. As a reminder, end-user systems without these patches are participating in a distributed denial of service attack on KDE.org infrastructure.</div><div><br></div><div>The two emails which distributions need to keep in mind are:</div><div>- <a href="https://mail.kde.org/pipermail/distributions/2022-February/001140.html" target="_blank">https://mail.kde.org/pipermail/distributions/2022-February/001140.html</a></div><div>- <a href="https://mail.kde.org/pipermail/distributions/2022-February/001142.html" target="_blank">https://mail.kde.org/pipermail/distributions/2022-February/001142.html</a></div><div><br></div><div>These patches should be backported to all versions currently in support.</div><div><br></div><div>For those distributions that have already backported these patches - thank you and apologies for the further inconvenience regarding this.</div></div></blockquote><div><br></div><div>First, thanks to all those distributions which have acknowledged this email.</div><div>I have noted the following as having responded:</div><div>- KaOS</div><div>- Adelie</div><div>- Fedora</div><div>- Slackware</div><div>- Alpine</div><div>- Exherbo</div><div>- SUSE</div><div><br></div><div>Your work on this is very much appreciated - thanks for the excellent service you've provided.</div><div><br></div><div>The following distributions have failed to respond to this:</div><div>- Aosc<br>- Archlinux<br>- Debian<br>- FreeBSD<br>- Gentoo<br>- Mageia<br>- Manjaro<br>- Neon<br>- NetBSD<br>- OpenBSD<br>- OpenMandriva<br>- PLD<br>- Solus<br>- Homebrew<br></div></div></div></blockquote><div><br></div><div>Thanks to those who have now responded and your packaging work.</div><div>Compared to when this incident began requests have now reduced noticeably.</div><div><br></div><div>Due to their failure to respond, I have now suspended pre-release package access for the following distributions:</div><div>- Aosc</div><div>- Manjaro</div><div>- Mageia</div><div>- PLD</div><div>- Solus</div><div>- Homebrew</div><div><br></div><div>With respect to Ubuntu and Debian, these two distributions are requested to advise when they have released the fixes.</div><div><br></div><div>I'm extremely disappointed in both Debian and Ubuntu for the delay they've had in releasing these updates. Their conduct falls well short of what I had expected.</div><div>In the future items such as this will likely need a CVE to be requested for them (regardless of how appropriate that may be) to ensure these two distributions act appropriately.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><div><br></div><div>If those distributions could please acknowledged the steps they have taken that would be much appreciated (I'd really prefer not to have to send individualised followups)</div><div><br></div><div>Special mention in this goes to Ubuntu/Canonical, who currently have their release of the fixes held up in internal policies and workflows - despite representing half of the traffic being generated by this whole incident at one point in time.</div><div>(and it looks like users won't see the patches from them for at least another week). Suffice to say, i'm extremely displeased with them.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br></div><div>Thanks,</div><div>Ben Cooksley</div><div>KDE Sysadmin</div></div></blockquote><div><br></div><div>Thanks,</div><div>Ben </div></div></div></blockquote><div><br></div><div>Regards,</div><div>Ben </div></div></div>