]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - debian/NEWS
describe unexpected situation where a logged-in user can delete other comments
[git.ikiwiki.info.git] / debian / NEWS
index c1f343520fa65a970c6d3eeaf2c56ffa28bb6316..e169658ea28b4f362b5528a98a34daad4e4e7848 100644 (file)
@@ -1,4 +1,28 @@
-ikiwiki (3.20150330) UNRELEASED; urgency=medium
+ikiwiki (3.20160506) unstable; urgency=medium
+
+  To mitigate CVE-2016-3714 and similar ImageMagick security vulnerabilities,
+  the [[!img]] directive is now restricted to these common web formats by
+  default:
+
+  * JPEG (.jpg, .jpeg)
+  * PNG (.png)
+  * GIF (.gif)
+  * SVG (.svg)
+
+  (In particular, by default resizing PDF files is no longer allowed.)
+
+  Additionally, resized SVG files are displayed in the browser as SVG
+  instead of being converted to PNG.
+
+  If all users who can attach images are fully trusted, this restriction
+  can be removed with the new img_allowed_formats setup option.
+  See <https://ikiwiki.info/ikiwiki/directive/img/>
+  or <file:///usr/share/doc/ikiwiki/html/ikiwiki/directive/img.html> for
+  more details.
+
+ -- Simon McVittie <smcv@debian.org>  Fri, 06 May 2016 07:49:56 +0100
+
+ikiwiki (3.20150610) unstable; urgency=low
 
   The new "emailauth" plugin allows users to authenticate using an email
   address, without otherwise creating an account.
@@ -8,7 +32,7 @@ ikiwiki (3.20150330) UNRELEASED; urgency=medium
   Conversely, if emailauth is required on a wiki that does not enable
   openid, you can list it in the enable_plugins setting.
 
- -- Simon McVittie <smcv@debian.org>  Wed, 27 May 2015 08:30:43 +0100
+ -- Simon McVittie <smcv@debian.org>  Wed, 10 Jun 2015 21:56:56 +0100
 
 ikiwiki (3.20150107) experimental; urgency=medium