]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - debian/changelog
projects / git.ikiwiki.info.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
fix data:image handling
[git.ikiwiki.info.git] / debian / changelog
diff --git a/debian/changelog b/debian/changelog
index 2c59130435d0fbbeaa6aac589d1ded7f1c14202c..7dd7a2a29101cbb61f1727ee2a5a27903cc4c731 100644 (file)
--- a/debian/changelog
+++ b/debian/changelog
@@ -1,8 +1,59 @@
-ikiwiki (1.33) UNRELEASED; urgency=low
+ikiwiki (1.33.4) stable-security; urgency=high
 
-  * Fix issue with aggregate plugin updating expired pages.
+  * htmlscrubber security fix: Block javascript in uris. Closes: #465110
+  * Add htmlscrubber test suite.
+
+ -- Joey Hess <joeyh@debian.org>  Sun, 10 Feb 2008 13:34:28 -0500
+
+ikiwiki (1.33.3) testing-proposed-updates; urgency=medium
+
+  * Fix a security hole that allowed insertion of unsafe content via the meta
+    plugins's support for inserting html link and meta tags. Now such content
+    is passed through the htmlscrubber like everything else.
+  * Unfortunatly, that means that some valid uses of those tags are no longer
+    usable, and special case methods needed to be added for including
+    stylesheets, and for doing openid delegation. If you use either of these
+    in your wiki, it will need to be modified. See the meta plugin docs
+    for details.
+
+ -- Joey Hess <joeyh@debian.org>  Wed, 21 Mar 2007 14:56:48 -0400
+
+ikiwiki (1.33.2) testing-proposed-updates; urgency=medium
+
+  * Backport fix for a security hole that allowed a web user to insert
+    arbitrary html in the title of a page due to missing escaping of
+    titles in the meta plugin.
+  * Fix examples directory location.
 
- -- Joey Hess <joeyh@debian.org>  Sat,  4 Nov 2006 14:19:47 -0500
+ -- Joey Hess <joeyh@debian.org>  Wed, 21 Mar 2007 01:55:02 -0400
+
+ikiwiki (1.33.1) testing-proposed-updates; urgency=medium
+
+  * Backport fix for a security hole that allowed a web user to edit images
+    and other non-page format files in the wiki. To exploit this, the file
+    already had to exist in the wiki, and the web user would need to somehow
+    use the web based editor to replace it with malicious content.
+
+ -- Joey Hess <joeyh@debian.org>  Sat, 10 Feb 2007 15:30:12 -0500
+
+ikiwiki (1.33) unstable; urgency=low
+
+  * Fix issue with aggregate plugin updating expired pages.
+  * Avoid syntax errors in templates used by the template plugin crashing
+    ikiwiki.
+  * Enable utf8 file IO in aggregate plugin.
+  * Fix some issues with the new registration form.
+  * Patch from Ethan Glasser Camp to add a skip option to the inline plugin.
+  * Make sure to check for errors from every eval.
+  * Fix img plugin's handling of adding dependencies for images that do not
+    yet exist.
+  * Work around a strange bug in CGI::FormBuilder 3.0401 that makes
+    FORM-SUBMIT unusable on customised formbuilder templates. For now,
+    hardcode the submit buttons in editpage.tmpl instead of using the
+    template variable, which is ok, since the buttons are static.
+  * Work with hyperestraier 1.4.9.
+
+ -- Joey Hess <joeyh@debian.org>  Wed, 15 Nov 2006 18:32:26 -0500
 
 ikiwiki (1.32) unstable; urgency=low
 
Unnamed repository; edit this file 'description' to name the repository.