]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blob - IkiWiki/Plugin/cvs.pm
Add automated test for using the CGI with git, including CVE-2016-10026
[git.ikiwiki.info.git] / IkiWiki / Plugin / cvs.pm
1 #!/usr/bin/perl
2 package IkiWiki::Plugin::cvs;
4 # Copyright (c) 2009 Amitai Schlair
5 # All rights reserved.
6 #
7 # This code is derived from software contributed to ikiwiki
8 # by Amitai Schlair.
9 #
10 # Redistribution and use in source and binary forms, with or without
11 # modification, are permitted provided that the following conditions
12 # are met:
13 # 1. Redistributions of source code must retain the above copyright
14 #    notice, this list of conditions and the following disclaimer.
15 # 2. Redistributions in binary form must reproduce the above copyright
16 #    notice, this list of conditions and the following disclaimer in the
17 #    documentation and/or other materials provided with the distribution.
18 #
19 # THIS SOFTWARE IS PROVIDED BY IKIWIKI AND CONTRIBUTORS ``AS IS''
20 # AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
21 # TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
22 # PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE FOUNDATION
23 # OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
24 # SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
25 # LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF
26 # USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND
27 # ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY,
28 # OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT
29 # OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
30 # SUCH DAMAGE.
32 use warnings;
33 use strict;
34 use IkiWiki;
36 use URI::Escape q{uri_escape_utf8};
37 use File::chdir;
40 # GENERAL PLUGIN API CALLS
42 sub import {
43         hook(type => "checkconfig", id => "cvs", call => \&checkconfig);
44         hook(type => "getsetup", id => "cvs", call => \&getsetup);
45         hook(type => "genwrapper", id => "cvs", call => \&genwrapper);
47         hook(type => "rcs", id => "rcs_update", call => \&rcs_update);
48         hook(type => "rcs", id => "rcs_prepedit", call => \&rcs_prepedit);
49         hook(type => "rcs", id => "rcs_commit", call => \&rcs_commit);
50         hook(type => "rcs", id => "rcs_commit_staged", call => \&rcs_commit_staged);
51         hook(type => "rcs", id => "rcs_add", call => \&rcs_add);
52         hook(type => "rcs", id => "rcs_remove", call => \&rcs_remove);
53         hook(type => "rcs", id => "rcs_rename", call => \&rcs_rename);
54         hook(type => "rcs", id => "rcs_recentchanges", call => \&rcs_recentchanges);
55         hook(type => "rcs", id => "rcs_diff", call => \&rcs_diff);
56         hook(type => "rcs", id => "rcs_getctime", call => \&rcs_getctime);
57         hook(type => "rcs", id => "rcs_getmtime", call => \&rcs_getmtime);
58 }
60 sub checkconfig () {
61         if (! defined $config{cvspath}) {
62                 $config{cvspath}="ikiwiki";
63         }
64         if (exists $config{cvspath}) {
65                 # code depends on the path not having extraneous slashes
66                 $config{cvspath}=~tr#/#/#s;
67                 $config{cvspath}=~s/\/$//;
68                 $config{cvspath}=~s/^\///;
69         }
70         if (defined $config{cvs_wrapper} && length $config{cvs_wrapper}) {
71                 push @{$config{wrappers}}, {
72                         wrapper => $config{cvs_wrapper},
73                         wrappermode => (defined $config{cvs_wrappermode} ? $config{cvs_wrappermode} : "04755"),
74                 };
75         }
76 }
78 sub getsetup () {
79         return
80                 plugin => {
81                         safe => 0, # rcs plugin
82                         rebuild => undef,
83                         section => "rcs",
84                 },
85                 cvsrepo => {
86                         type => "string",
87                         example => "/cvs/wikirepo",
88                         description => "cvs repository location",
89                         safe => 0, # path
90                         rebuild => 0,
91                 },
92                 cvspath => {
93                         type => "string",
94                         example => "ikiwiki",
95                         description => "path inside repository where the wiki is located",
96                         safe => 0, # paranoia
97                         rebuild => 0,
98                 },
99                 cvs_wrapper => {
100                         type => "string",
101                         example => "/cvs/wikirepo/CVSROOT/post-commit",
102                         description => "cvs post-commit hook to generate (triggered by CVSROOT/loginfo entry)",
103                         safe => 0, # file
104                         rebuild => 0,
105                 },
106                 cvs_wrappermode => {
107                         type => "string",
108                         example => '04755',
109                         description => "mode for cvs_wrapper (can safely be made suid)",
110                         safe => 0,
111                         rebuild => 0,
112                 },
113                 historyurl => {
114                         type => "string",
115                         example => "http://cvs.example.org/cvsweb.cgi/ikiwiki/[[file]]",
116                         description => "cvsweb url to show file history ([[file]] substituted)",
117                         safe => 1,
118                         rebuild => 1,
119                 },
120                 diffurl => {
121                         type => "string",
122                         example => "http://cvs.example.org/cvsweb.cgi/ikiwiki/[[file]].diff?r1=text&tr1=[[r1]]&r2=text&tr2=[[r2]]",
123                         description => "cvsweb url to show a diff ([[file]], [[r1]], and [[r2]] substituted)",
124                         safe => 1,
125                         rebuild => 1,
126                 },
129 sub genwrapper () {
130         return <<EOF;
131         {
132                 int j;
133                 for (j = 1; j < argc; j++)
134                         if (strstr(argv[j], "New directory") != NULL)
135                                 exit(0);
136         }
137 EOF
141 # VCS PLUGIN API CALLS
143 sub rcs_update () {
144         return unless cvs_is_controlling();
145         cvs_runcvs('update', '-dP');
148 sub rcs_prepedit ($) {
149         # Prepares to edit a file under revision control. Returns a token
150         # that must be passed into rcs_commit when the file is ready
151         # for committing.
152         # The file is relative to the srcdir.
153         my $file=shift;
155         return unless cvs_is_controlling();
157         # For cvs, return the revision of the file when
158         # editing begins.
159         my $rev=cvs_info("Repository revision", "$file");
160         return defined $rev ? $rev : "";
163 sub rcs_commit (@) {
164         # Tries to commit the page; returns undef on _success_ and
165         # a version of the page with the rcs's conflict markers on failure.
166         # The file is relative to the srcdir.
167         my %params=@_;
169         return unless cvs_is_controlling();
171         # Check to see if the page has been changed by someone
172         # else since rcs_prepedit was called.
173         my ($oldrev)=$params{token}=~/^([0-9]+)$/; # untaint
174         my $rev=cvs_info("Repository revision", "$config{srcdir}/$params{file}");
175         if (defined $rev && defined $oldrev && $rev != $oldrev) {
176                 # Merge their changes into the file that we've
177                 # changed.
178                 cvs_runcvs('update', $params{file}) ||
179                         warn("cvs merge from $oldrev to $rev failed\n");
180         }
182         if (! cvs_runcvs('commit', '-m',
183                          IkiWiki::possibly_foolish_untaint(commitmessage(%params)))) {
184                 my $conflict=readfile("$config{srcdir}/$params{file}");
185                 cvs_runcvs('update', '-C', $params{file}) ||
186                         warn("cvs revert failed\n");
187                 return $conflict;
188         }
190         return undef # success
193 sub rcs_commit_staged (@) {
194         # Commits all staged changes. Changes can be staged using rcs_add,
195         # rcs_remove, and rcs_rename.
196         my %params=@_;
198         if (! cvs_runcvs('commit', '-m',
199                          IkiWiki::possibly_foolish_untaint(commitmessage(%params)))) {
200                 warn "cvs staged commit failed\n";
201                 return 1; # failure
202         }
203         return undef # success
206 sub rcs_add ($) {
207         # filename is relative to the root of the srcdir
208         my $file=shift;
209         my $parent=IkiWiki::dirname($file);
210         my @files_to_add = ($file);
212         until ((length($parent) == 0) || cvs_is_controlling("$config{srcdir}/$parent")){
213                 push @files_to_add, $parent;
214                 $parent = IkiWiki::dirname($parent);
215         }
217         while ($file = pop @files_to_add) {
218                 if (@files_to_add == 0) {
219                         # file
220                         cvs_runcvs('add', cvs_keyword_subst_args($file)) ||
221                                 warn("cvs add $file failed\n");
222                 }
223                 else {
224                         # directory
225                         cvs_runcvs('add', $file) ||
226                                 warn("cvs add $file failed\n");
227                 }
228         }
231 sub rcs_remove ($) {
232         # filename is relative to the root of the srcdir
233         my $file=shift;
235         return unless cvs_is_controlling();
237         cvs_runcvs('rm', '-f', $file) ||
238                 warn("cvs rm $file failed\n");
241 sub rcs_rename ($$) {
242         # filenames relative to the root of the srcdir
243         my ($src, $dest)=@_;
245         return unless cvs_is_controlling();
247         local $CWD = $config{srcdir};
249         if (system("mv", "$src", "$dest") != 0) {
250                 warn("filesystem rename failed\n");
251         }
253         rcs_add($dest);
254         rcs_remove($src);
257 sub rcs_recentchanges ($) {
258         my $num = shift;
259         my @ret;
261         return unless cvs_is_controlling();
263         eval q{use Date::Parse};
264         error($@) if $@;
266         local $CWD = $config{srcdir};
268         # There's no cvsps option to get the last N changesets.
269         # Write full output to a temp file and read backwards.
271         eval q{use File::Temp qw/tempfile/};
272         error($@) if $@;
273         eval q{use File::ReadBackwards};
274         error($@) if $@;
276         my ($tmphandle, $tmpfile) = tempfile();
277         system("env TZ=UTC cvsps -q --cvs-direct -z 30 -x >$tmpfile");
278         if ($? == -1) {
279                 error "couldn't run cvsps: $!\n";
280         }
281         elsif (($? >> 8) != 0) {
282                 error "cvsps exited " . ($? >> 8) . ": $!\n";
283         }
285         tie(*SPSVC, 'File::ReadBackwards', $tmpfile)
286                 || error "couldn't open $tmpfile for read: $!\n";
288         while (my $line = <SPSVC>) {
289                 $line =~ /^$/ || error "expected blank line, got $line";
291                 my ($rev, $user, $committype, $when);
292                 my (@message, @pages);
294                 # We're reading backwards.
295                 # Forwards, an entry looks like so:
296                 # ---------------------
297                 # PatchSet $rev
298                 # Date: $when
299                 # Author: $user (or user CGI runs as, for web commits)
300                 # Branch: branch
301                 # Tag: tag
302                 # Log:
303                 # @message_lines
304                 # Members:
305                 #       @pages (and revisions)
306                 #
308                 while ($line = <SPSVC>) {
309                         last if ($line =~ /^Members:/);
310                         for ($line) {
311                                 s/^\s+//;
312                                 s/\s+$//;
313                         }
314                         my ($page, $revs) = split(/:/, $line);
315                         my ($oldrev, $newrev) = split(/->/, $revs);
316                         $oldrev =~ s/INITIAL/0/;
317                         $newrev =~ s/\(DEAD\)//;
318                         my $diffurl = defined $config{diffurl} ? $config{diffurl} : "";
319                         my $epage = uri_escape_utf8($page);
320                         $diffurl=~s/\[\[file\]\]/$epage/g;
321                         $diffurl=~s/\[\[r1\]\]/$oldrev/g;
322                         $diffurl=~s/\[\[r2\]\]/$newrev/g;
323                         unshift @pages, {
324                                 page => pagename($page),
325                                 diffurl => $diffurl,
326                         } if length $page;
327                 }
329                 while ($line = <SPSVC>) {
330                         last if ($line =~ /^Log:$/);
331                         chomp $line;
332                         unshift @message, { line => $line };
333                 }
334                 $committype = "web";
335                 if (defined $message[0] &&
336                     $message[0]->{line}=~/$config{web_commit_regexp}/) {
337                         $user=defined $2 ? "$2" : "$3";
338                         $message[0]->{line}=$4;
339                 }
340                 else {
341                         $committype="cvs";
342                 }
344                 $line = <SPSVC>;        # Tag
345                 $line = <SPSVC>;        # Branch
347                 $line = <SPSVC>;
348                 if ($line =~ /^Author: (.*)$/) {
349                         $user = $1 unless defined $user && length $user;
350                 }
351                 else {
352                         error "expected Author, got $line";
353                 }
355                 $line = <SPSVC>;
356                 if ($line =~ /^Date: (.*)$/) {
357                         $when = str2time($1, 'UTC');
358                 }
359                 else {
360                         error "expected Date, got $line";
361                 }
363                 $line = <SPSVC>;
364                 if ($line =~ /^PatchSet (.*)$/) {
365                         $rev = $1;
366                 }
367                 else {
368                         error "expected PatchSet, got $line";
369                 }
371                 $line = <SPSVC>;        # ---------------------
373                 push @ret, {
374                         rev => $rev,
375                         user => $user,
376                         committype => $committype,
377                         when => $when,
378                         message => [@message],
379                         pages => [@pages],
380                 } if @pages;
381                 last if @ret >= $num;
382         }
384         unlink($tmpfile) || error "couldn't unlink $tmpfile: $!\n";
386         return @ret;
389 sub rcs_diff ($;$) {
390         my $rev=IkiWiki::possibly_foolish_untaint(int(shift));
391         my $maxlines=shift;
393         local $CWD = $config{srcdir};
395         # diff output is unavoidably preceded by the cvsps PatchSet entry
396         my @cvsps = `env TZ=UTC cvsps -q --cvs-direct -z 30 -g -s $rev`;
397         my $blank_lines_seen = 0;
399         while (my $line = shift @cvsps) {
400                 $blank_lines_seen++ if ($line =~ /^$/);
401                 last if $blank_lines_seen == 2;
402         }
404         if (wantarray) {
405                 return @cvsps;
406         }
407         else {
408                 return join("", @cvsps);
409         }
412 sub rcs_getctime ($) {
413         my $file=shift;
415         local $CWD = $config{srcdir};
417         my $cvs_log_infoline=qr/^date: (.+);\s+author/;
419         open CVSLOG, "cvs -Q log -r1.1 '$file' |"
420                 || error "couldn't get cvs log output: $!\n";
422         my $date;
423         while (<CVSLOG>) {
424                 if (/$cvs_log_infoline/) {
425                         $date=$1;
426                 }
427         }
428         close CVSLOG || warn "cvs log $file exited $?";
430         if (! defined $date) {
431                 warn "failed to parse cvs log for $file\n";
432                 return 0;
433         }
435         eval q{use Date::Parse};
436         error($@) if $@;
437         $date=str2time($date, 'UTC');
438         debug("found ctime ".localtime($date)." for $file");
439         return $date;
442 sub rcs_getmtime ($) {
443         error "rcs_getmtime is not implemented for cvs\n"; # TODO
447 # INTERNAL SUPPORT ROUTINES
449 sub commitmessage (@) {
450         my %params=@_;
452         if (defined $params{session}) {
453                 if (defined $params{session}->param("name")) {
454                         return "web commit by ".
455                                 $params{session}->param("name").
456                                 (length $params{message} ? ": $params{message}" : "");
457                 }
458                 elsif (defined $params{session}->remote_addr()) {
459                         return "web commit from ".
460                                 $params{session}->remote_addr().
461                                 (length $params{message} ? ": $params{message}" : "");
462                 }
463         }
464         return $params{message};
467 sub cvs_info ($$) {
468         my $field=shift;
469         my $file=shift;
471         local $CWD = $config{srcdir};
473         my $info=`cvs status $file`;
474         my ($ret)=$info=~/^\s*$field:\s*(\S+)/m;
475         return $ret;
478 sub cvs_is_controlling {
479         my $dir=shift;
480         $dir=$config{srcdir} unless defined($dir);
481         return (-d "$dir/CVS") ? 1 : 0;
484 sub cvs_keyword_subst_args ($) {
485         my $file = shift;
487         local $CWD = $config{srcdir};
489         eval q{use File::MimeInfo};
490         error($@) if $@;
491         my $filemime = File::MimeInfo::default($file);
492         # if (-T $file) {
494         if (defined($filemime) && $filemime eq 'text/plain') {
495                 return ($file);
496         }
497         else {
498                 return ('-kb', $file);
499         }
502 sub cvs_runcvs(@) {
503         my @cmd = @_;
504         unshift @cmd, 'cvs', '-Q';
506         local $CWD = $config{srcdir};
508         open(my $savedout, ">&STDOUT");
509         open(STDOUT, ">", "/dev/null");
510         my $ret = system(@cmd);
511         open(STDOUT, ">&", $savedout);
513         return ($ret == 0) ? 1 : 0;