<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Feb 21, 2013 at 11:12 AM, Christian Heimes <span dir="ltr"><<a href="mailto:christian@python.org" target="_blank">christian@python.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Am <a href="tel:21.02.2013%2019" value="+12102201319">21.02.2013 19</a>:39, schrieb Eli Bendersky:<br>
<div class="im">> Just to clarify for my own curiosity. These attacks (e.g.<br>
> <a href="http://en.wikipedia.org/wiki/Billion_laughs" target="_blank">http://en.wikipedia.org/wiki/Billion_laughs</a>) have been known and public<br>
> since 2003?<br>
<br>
</div>Correct, see <a href="https://pypi.python.org/pypi/defusedxml#synopsis" target="_blank">https://pypi.python.org/pypi/defusedxml#synopsis</a> third<br>
paragraph. All XML attacks in my analysis are well known for years,<br>
billion laughs for about a decade.<br>
<br>
As far as I know it's the first time somebody has compiled and published<br>
a detailed list of vulnerabilities in Python's XML libraries. However<br>
I'm not the only one. OpenStack and Django were contacted by several<br>
people in the past few weeks, too.<br></blockquote><div><br></div><div>Thanks, Christian. I think this should put the urgency of the fix into context. While I agree that we should work on making future versions resilient by default, I have doubts about the urgency of back-patching existing, in-mainteinance-mode stable versions with something that's not opt-in.<br>

<br>Eli<br></div><div> </div></div><br></div></div>