]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - debian/changelog
Changelog
[git.ikiwiki.info.git] / debian / changelog
index cf6924091cb6c61b352600672635ad8c4b227f18..e1b8506ab4dd6b36c912528e6d1c71b3d28d7ed8 100644 (file)
@@ -1,3 +1,86 @@
+ikiwiki (3.20141016.3) UNRELEASED; urgency=medium
+
+  * img: stop ImageMagick trying to be clever if filenames contain a colon,
+    avoiding mis-processing
+  * HTML-escape error messages, in one case avoiding potential cross-site
+    scripting (OVE-20160505-0012)
+  * Mitigate ImageMagick vulnerabilities such as CVE-2016-3714:
+    - img: force common Web formats to be interpreted according to extension,
+      so that "allowed_attachments: '*.jpg'" does what one might expect
+    - img: restrict to JPEG, PNG and GIF images by default, again mitigating
+      CVE-2016-3714 and similar vulnerabilities
+    - img: check that the magic number matches what we would expect from
+      the extension before giving common formats to ImageMagick
+
+ -- Simon McVittie <smcv@debian.org>  Thu, 05 May 2016 23:33:26 +0100
+
+ikiwiki (3.20141016.2) unstable; urgency=high
+
+  [ Joey Hess ]
+  * Fix XSS in openid selector. Thanks, Raghav Bisht. (Closes: #781483)
+
+ -- Simon McVittie <smcv@debian.org>  Sun, 29 Mar 2015 22:28:15 +0100
+
+ikiwiki (3.20141016.1) unstable; urgency=medium
+
+  * Backport selected commits for Debian 8:
+
+  [ Joey Hess ]
+  * Add missing build-depends on libcgi-formbuilder-perl, needed for
+    t/relativity.t if libipc-run-perl is also installed
+    (buildds are unaffected by this)
+  * Set Debian package maintainer to Simon McVittie as I'm retiring from
+    Debian.
+
+  [ Amitai Schlair ]
+  * blogspam: use the 2.0 JSON API (the 1.0 XML-RPC API has been EOL'd).
+    Closes: #774441
+
+  [ Simon McVittie ]
+  * Work around imagemagick Debian bug #771047 by using a non-blank SVG
+    for the regression test, to avoid FTBFS in current unstable
+    if inkscape is installed (buildds are unaffected by this)
+
+ -- Simon McVittie <smcv@debian.org>  Wed, 07 Jan 2015 11:08:35 +0000
+
+ikiwiki (3.20141016) unstable; urgency=medium
+
+  [ Joey Hess ]
+  * Fix crash that can occur when only_committed_changes is set and a
+    file is deleted from the underlay.
+
+  [ Simon McVittie ]
+  * core: avoid dangerous use of CGI->param in list context, which led
+    to a security flaw in Bugzilla; as far as we can tell, ikiwiki
+    is not vulnerable to a similar attack, but it's best to be safe
+  * core: new reverse_proxy option prevents ikiwiki from trying to detect
+    how to make self-referential URLs by using the CGI environment variables,
+    for instance when it's deployed behind a HTTP reverse proxy
+    (Closes: #745759)
+  * core: the default User-Agent is now "ikiwiki/$version" to work around
+    ModSecurity rules assuming that only malware uses libwww-perl
+  * core: use protocol-relative URLs (e.g. //www.example.com/wiki) so that
+    https stays on https and http stays on http, particularly if the
+    html5 option is enabled
+  * core: avoid mixed content when a https cgiurl links to http static pages
+    on the same server (the static pages are assumed to be accessible via
+    https too)
+  * core: force the correct top URL in w3mmode
+  * google plugin: Use search form
+  * docwiki: replace Paypal and Flattr buttons with text links
+  * comments: don't record the IP address in the wiki if the user is
+    logged in via passwordauth or httpauth
+  * templates: add ARIA roles to some page elements, if html5 is enabled.
+    Thanks, Patrick
+  * debian: build-depend on libmagickcore-6.q16-2-extra | libmagickcore-extra
+    so we can thumbnail SVGs in the docwiki
+  * debian: explicitly depend and build-depend on libcgi-pm-perl
+  * debian: drop unused python-support dependency
+  * debian: rename debian/link to debian/links so the intended symlinks appear
+  * debian: fix some wrong paths in the copyright file
+
+ -- Simon McVittie <smcv@debian.org>  Thu, 16 Oct 2014 23:28:26 +0100
+
 ikiwiki (3.20140916) unstable; urgency=low
 
   * Don't double-decode CGI submissions with Encode.pm >= 2.53,