<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Mar 24, 2014 at 5:55 PM, Alan Pevec <span dir="ltr"><<a href="mailto:apevec@gmail.com" target="_blank">apevec@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">2014-03-24 19:14 GMT+01:00 Doug Hellmann <<a href="mailto:doug.hellmann@dreamhost.com">doug.hellmann@dreamhost.com</a>>:<br>

<div class="">> I tend to agree that a dependency change like this is "too big." OTOH, do we<br>
> have any security ramifications for leaving the code as-is? Would it make<br>
> sense to try to figure out which library is available and use it, rather<br>
> than requiring one or the other?<br>
<br>
</div>That would be stable-only patch so it would be even more risky IMHO.<br>
I guess the solution here is to document security issues clearly in<br>
2013.2.3 release notes as Adam suggested. </blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Cheers,<br>
Alan<br>
</blockquote></div><br></div><div class="gmail_extra"><div class="gmail_default" style="font-size:small">OK, I can go along with that.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">
Doug</div><div class="gmail_default" style="font-size:small"></div><br></div></div>