Hi All:
目前openEuler 社区中存在jasper软件包,包含master分支和20.09分支,不涉及20.03-LTS分支(之前删除过)。由于jasper的上游社区的owner有在评论中声明不继续维护,考虑从openEuler中移除该包,因此申请会议裁决。
目标:在openEuler社区中移除jasper。
移除具体原因:
1、 上游社区的owner在此issue中明确表示,无资金在继续维护jasper
https://github.com/mdadams/jasper/issues/208
[cid:image005.jpg@01D68C19.01A41590]
2、 当前jasper含有大量的高分CVE,比如:CVE-2018-19541 、CVE-2018-19540 、CVE-2018-19542等12个高分CVE
3、 关于jasper的功能介绍:
Jasper提供了jpeg2000格式的图像处理、转换等功能,openjpeg2已经提供此功能了。目前都是由于dcraw的构建依赖引入。
4、 Jasper删除的历史影响:
(1) 当前jasper不存在20.03-LTS版本中,是因为在2020.01.23第一次删除,同时也去除了openeuler里涉及的软件包。
[cid:image006.jpg@01D68C19.01A41590]
(2) 当前jasper被引入的原因是dcraw被引入到openeuler,jasper作为dcraw的构建依赖再次被引入openeuler中,当前该依赖线已经解除。
[cid:image009.png@01D68C19.01A41590]
5、 其他OS厂商的情况:suse也已经发表声明去除jasper,fedora未去除(他们认为相关的cve属于低分,不处理)。
