<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">A worthy experiment!<br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On Jan 24, 2019, at 9:50 PM, Darafei Komяpa Praliaskouski <<a href="mailto:me@komzpa.net" class="">me@komzpa.net</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><div dir="ltr" class="">PostGIS 2.0..2.3.2 now has a CVE, let's see how quick vendors will pick it up:<br class=""><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-18359" class="">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-18359</a> <br class=""><br class=""></div></div><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><div class="gmail_quote" style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><div dir="ltr" class="gmail_attr">On Thu, Jan 24, 2019 at 2:20 AM Darafei "Komяpa" Praliaskouski <<a href="mailto:me@komzpa.net" class="">me@komzpa.net</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-style: solid; border-left-color: rgb(204, 204, 204); padding-left: 1ex;"><div dir="ltr" class="">To push libraries to get update, either:<br class=""><div class=""> - make downstream packages dependencies tighter (with each PostGIS release depend on current minor of GEOS);<br class=""> - report a CVE / security bug, so that it's handled by security team (can become just a three-line backpatch though).</div></div><br class=""><div class="gmail_quote"><div dir="ltr" class="gmail-m_-4833064589166581888gmail_attr">On Thu, Jan 24, 2019 at 2:14 AM Paul Ramsey <<a href="mailto:pramsey@cleverelephant.ca" target="_blank" class="">pramsey@cleverelephant.ca</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-style: solid; border-left-color: rgb(204, 204, 204); padding-left: 1ex;">Well, there’s going to be some exciting news on the GEOS front next week, and hopefully it will bring everyone back to the table :) I don’t know how to break the packaging logjam though, as there’s something about system libraries that defies makes everyone “go slow”. Which isn’t really fair, since we’ve done everything necessary to make things easy: the ABI never changes, there’s never a reason to not just dump the latest GEOS into place. What can we do to convince packagers we are sincere?<br class=""><br class="">P<br class=""><br class="">> On Jan 23, 2019, at 3:05 PM, Nyall Dawson <<a href="mailto:nyall.dawson@gmail.com" target="_blank" class="">nyall.dawson@gmail.com</a>> wrote:<br class="">><span class="Apple-converted-space"> </span><br class="">> On Wed, 23 Jan 2019 at 23:45, Darafei "Komяpa" Praliaskouski<br class="">> <<a href="mailto:me@komzpa.net" target="_blank" class="">me@komzpa.net</a>> wrote:<br class="">>><span class="Apple-converted-space"> </span><br class="">>> I believe that not upgrading GEOS is self supporting problem.<br class="">>><span class="Apple-converted-space"> </span><br class="">>> Nobody cares about GEOS, as nobody uses GEOS directly. They use PostGIS, QGIS, or whatevergis that uses GEOS. The only reason to pull a new version is if something can't work with older.<br class="">>><span class="Apple-converted-space"> </span><br class="">>> If we, PostGIS developers, are affected by the same plague, we basically can't ever close a ticket in PostGIS GEOS milestone - we're supporting old versions, so you can still get your PostGIS with the bug manifesting itself. A recent case is someone showing on PostGIS IRC asking why ST_Subdivide won't work as expected in their 2.4.latest and the issue was they used unpatched GEOS.<br class="">><span class="Apple-converted-space"> </span><br class="">> I'm watching this thread with interest! From a QGIS developer's<br class="">> perspective, we're consistently running into this same issue. We've<br class="">> got a choice between:<br class="">><span class="Apple-converted-space"> </span><br class="">> 1. Fixing bugs and implementing features in GEOS, and then waiting...<br class="">> 2? 3? more? years before we can actually rely on users HAVING those<br class="">> fixes/features when they install QGIS<br class="">> or<br class="">> 2. Being "bad" open source citizens and implementing workarounds and<br class="">> features downstream, so that users get these changes within (at most)<br class="">> 4 months.<br class="">><span class="Apple-converted-space"> </span><br class="">> Guess which option we usually pick? ;)<br class="">><span class="Apple-converted-space"> </span><br class="">> I'm really happy to see the recent increase in activity on the GEOS<br class="">> repo, and the performance boosts and optimizations which are landing<br class="">> there. I'd love to see GEOS regain it's rightful place as the<br class="">> "standard" geometry processing library used by PostGIS/QGIS/GDAL/R/...<br class="">> but... I can't see this happening with the combination of GEOS' slow<br class="">> release cycle and (more importantly) the constant demand from users to<br class="">> see the latest versions of applications (PostGIS, QGIS, etc) available<br class="">> on these ultra-slow distributions, with outdated library versions.<br class="">><span class="Apple-converted-space"> </span><br class="">> One of these days I'm going to propose that QGIS just bundles the<br class="">> whole of the latest GEOS stable release inside the QGIS repo (maybe as<br class="">> a git submodule) so that we're guaranteed to have the very latest GEOS<br class="">> release alongside QGIS. It's honestly the only way forward that I can<br class="">> see working. Maybe PostGIS should consider the same...<br class="">><span class="Apple-converted-space"> </span><br class="">> Nyall<br class="">> _______________________________________________<br class="">> postgis-devel mailing list<br class="">><span class="Apple-converted-space"> </span><a href="mailto:postgis-devel@lists.osgeo.org" target="_blank" class="">postgis-devel@lists.osgeo.org</a><br class="">><span class="Apple-converted-space"> </span><a href="https://lists.osgeo.org/mailman/listinfo/postgis-devel" rel="noreferrer" target="_blank" class="">https://lists.osgeo.org/mailman/listinfo/postgis-devel</a><br class=""><br class="">_______________________________________________<br class="">postgis-devel mailing list<br class=""><a href="mailto:postgis-devel@lists.osgeo.org" target="_blank" class="">postgis-devel@lists.osgeo.org</a><br class=""><a href="https://lists.osgeo.org/mailman/listinfo/postgis-devel" rel="noreferrer" target="_blank" class="">https://lists.osgeo.org/mailman/listinfo/postgis-devel</a></blockquote></div><br clear="all" class=""><div class=""><br class=""></div>--<span class="Apple-converted-space"> </span><br class=""><div dir="ltr" class="gmail-m_-4833064589166581888gmail_signature"><div dir="ltr" class=""><div class=""><div class="">Darafei Praliaskouski</div><div class="">Support me:<span class="Apple-converted-space"> </span><a href="http://patreon.com/komzpa" target="_blank" class="">http://patreon.com/komzpa</a></div></div></div></div></blockquote></div><br clear="all" style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><div style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br class=""></div><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">--<span class="Apple-converted-space"> </span></span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><div dir="ltr" class="gmail_signature" style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><div dir="ltr" class=""><div class=""><div class="">Darafei Praliaskouski</div><div class="">Support me:<span class="Apple-converted-space"> </span><a href="http://patreon.com/komzpa" target="_blank" class="">http://patreon.com/komzpa</a></div></div></div></div><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">_______________________________________________</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">postgis-devel mailing list</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><a href="mailto:postgis-devel@lists.osgeo.org" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">postgis-devel@lists.osgeo.org</a><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><a href="https://lists.osgeo.org/mailman/listinfo/postgis-devel" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">https://lists.osgeo.org/mailman/listinfo/postgis-devel</a></div></blockquote></div><br class=""></body></html>