<div dir="ltr"><div dir="ltr">On Wed, Feb 9, 2022 at 4:30 AM Nate Graham <<a href="mailto:nate@kde.org">nate@kde.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Much work is currently in progress to actually fix these issues. I see <br>
multiple merge requests across multiple repos being reviewed and merged. <br>
I think it makes sense to let that process happen. I see no indication <br>
of the issue not being taken seriously, even considering the hyperbolic <br>
and threatening way in which it was communicated mere days before a <br>
major software release that is already occupying everyone's time. Let's <br>
tone down the rhetoric and let developers do their jobs, now that <br>
they've been made aware of this critical issue.<br></blockquote><div><br></div><div>Please note that it is extremely important that backports and the making of releases containing those backports is a critical part of the process of rectifying this issue.</div><div>It cannot be left to just resolve itself via the organic process of users updating their systems to major versions - because that won't happen for months or longer and it is likely that the issue will continue to intensify before it gets any better.</div><div><br></div><div>Based on data we have we know that a big proportion of the traffic is coming from KF 5.86 based systems so these patches need backporting as distributions will not ship major version updates to these users.</div><div>Patch releases however have a chance (especially if we prod packagers) of making their way to those users within a matter of days.</div><div><br></div><div>To date all mentions I have made of backports being essential have been ignored.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Nate<br></blockquote><div><br></div><div>Regards,</div><div>Ben</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
<br>
On 2/8/22 02:53, Jonathan Riddell wrote:<br>
> You'll need to take this up with the maintainers of Discover and <br>
> KNewStuff.  There's no reason why fixing the issue wouldn't resolve the <br>
> problem as fast as removing it.<br>
> <br>
> Jonathan<br>
> <br>
> <br>
> On Tue, 8 Feb 2022 at 06:53, Ben Cooksley <<a href="mailto:bcooksley@kde.org" target="_blank">bcooksley@kde.org</a> <br>
> <mailto:<a href="mailto:bcooksley@kde.org" target="_blank">bcooksley@kde.org</a>>> wrote:<br>
> <br>
>     On Tue, Feb 8, 2022 at 1:12 AM Jonathan Riddell <<a href="mailto:jr@jriddell.org" target="_blank">jr@jriddell.org</a><br>
>     <mailto:<a href="mailto:jr@jriddell.org" target="_blank">jr@jriddell.org</a>>> wrote:<br>
> <br>
>         I'm not going to publish updates that just remove an important<br>
>         feature.  Rather there needs to be discussion in the normal KDE<br>
>         method and that feature should be fixed.<br>
> <br>
> <br>
>     Sorry but i'm going to categorically reject in the strongest<br>
>     possible terms the above statement.<br>
> <br>
>     What you are in essence saying is that your view is that it is<br>
>     acceptable to conduct a distributed denial of service attack on<br>
>     someone (even if it unintentional) and then refuse to disable the<br>
>     functionality in question while the issue is investigated in full<br>
>     and fixed properly.<br>
>     That quite simply is appalling.<br>
> <br>
> <br>
>         Jonathan<br>
> <br>
> <br>
>     Regards,<br>
>     Ben<br>
> <br>
> <br>
> <br>
>         On Sun, 6 Feb 2022 at 18:46, Ben Cooksley <<a href="mailto:bcooksley@kde.org" target="_blank">bcooksley@kde.org</a><br>
>         <mailto:<a href="mailto:bcooksley@kde.org" target="_blank">bcooksley@kde.org</a>>> wrote:<br>
> <br>
>             On Fri, Feb 4, 2022 at 7:52 AM Jonathan Riddell<br>
>             <<a href="mailto:jr@jriddell.org" target="_blank">jr@jriddell.org</a> <mailto:<a href="mailto:jr@jriddell.org" target="_blank">jr@jriddell.org</a>>> wrote:<br>
> <br>
>                 The tars for Plasma 5.24 are ready on deino for<br>
>                 packaging in distributions.  Release is due next Tuesday.<br>
> <br>
> <br>
>             Hi Jonathan,<br>
> <br>
>             I've now withdrawn these tarballs as they contain code that<br>
>             performs a denial of service attack on KDE.org infrastructure.<br>
> <br>
>             As this affects more than just Discover (with KWin,<br>
>             plasma-workspace and kdeplasma-addons all containing defects<br>
>             that are part of this series as well) a full respin of all<br>
>             packages will be required.<br>
> <br>
>             We also need patch releases of Discover for all versions<br>
>             going back to Plasma/5.18. While I appreciate that some of<br>
>             these are "out of support" the extraordinary nature of the<br>
>             problem we are facing requires it to be made (much like how<br>
>             Microsoft released a fix for Windows XP in the wake of Wannacry)<br>
> <br>
> <br>
>                 Jonathan<br>
> <br>
> <br>
>             Thanks,<br>
>             Ben<br>
> <br>
</blockquote></div></div>