<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Dear Sam,<div><br></div><div>Thank You for the answer.</div><div><div>At first: vulnerability source, that I use, is <a href="https://ubuntu.com/security/oval">official Ubuntu's OVAL data</a>. I downloaded the file by <a href="https://security-metadata.canonical.com/oval/com.ubuntu.bionic.cve.oval.xml.bz2">this link</a>. For Your convenience, I attached a screenshot with CVE-2018-5710 definition from this file. Moreover, the package version 1.16.1-1 is shown as a fixed version on the <a href="https://ubuntu.com/security/CVE-2018-5710">official Ubuntu CVE page</a>. So I don't think that there can be any disagreement in  vulnerability information.</div><div><br></div><div>As for the question, whose issue is it (Debian or Ubuntu) - I am not sure how this mechanism works, but I wrote to You as You are the maintainer for krb5. It is shown in the <a href="https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=889685">last link</a> on the CVE page, and on the <a href="https://packages.ubuntu.com/en/source/bionic/krb5">official Ubuntu packages page</a>.</div><div><br></div><div>I also looked through <a href="http://changelogs.ubuntu.com/changelogs/pool/main/k/krb5/krb5_1.16-2ubuntu0.2/changelog">Ubuntu Changelog</a> and <a href="https://metadata.ftp-master.debian.org/changelogs//main/k/krb5/krb5_1.18.3-4_changelog">Debian Changelog</a> for the krb5 package - there is the same record in both of them about the 1.16-2 version of krb5 ( Sat, 20 Jan 2018 11:02:57). </div><div>And right after that in Debian Changelog 1.16.1-1 version appeared while in Ubuntu Changelog the next version for krb5 is 1.16-2build1.</div><div><br></div><div>I might just assume that this can be some minor point with copying the krb5 version for Debian to Ubuntu vulnerability data. </div><div><br></div><div>Howbeit, how should I interpret information from the <a href="https://ubuntu.com/security/CVE-2018-5710">CVE-2018-5710 page</a>? I have krb5-1.16-2ubuntu0.2 on my PC and it is vulnerable as its version is less than 1.16.1-1? But my version is actual.</div><div><br></div><div>With appreciation,</div></div><div><span style="color:rgb(136,136,136)">--</span><br style="color:rgb(136,136,136)"><div dir="ltr" style="color:rgb(136,136,136)"><div dir="ltr"><div dir="ltr"><div><div>Andrey Nikonov,</div><div>Security engineer,</div><div>"Frodex" Ltd.<br></div></div><div>Ufa, Russia.</div></div></div></div></div><br><div><br></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">пн, 22 мар. 2021 г. в 21:41, Sam Hartman <<a href="mailto:hartmans@debian.org">hartmans@debian.org</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">This doesn't sound like a Debian issue.<br>
It sounds more like a disagreement between your source of vulnerability<br>
information and Ubuntu about when a problem is fixed (or whether it<br>
was).<br>
I also don't see CVE-2018-5710 as a vulnerability that upstream lists as<br>
fixed in their git history.<br>
<br>
I would not want to take on the liability of making a comment about<br>
whether a particular issue is fixed in a particular package version in<br>
Ubuntu unless I prepared that version.<br>
<br>
--Sam<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div style="font-size:small">с уважением,</div><div style="font-size:small">Андрей Никонов.</div></div><div><br></div></div></div></div></div></div></div>