]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - debian/changelog
retroactively add bug closure and CVE ids
[git.ikiwiki.info.git] / debian / changelog
index fb8d6bc5b01d2c5429c10c7213d7b375546c5770..fb6b8e8a05783c3224c9a4507f5363baf98065ce 100644 (file)
@@ -9,10 +9,76 @@ ikiwiki (2.40) UNRELEASED; urgency=low
     entry with migration information.
 
   [ Joey Hess ]
+  * Danish translation update from Jonas Smedegaard. Closes: #465152
+  * Generate XML RPC messages with the encoding set to utf-8 instead
+    of XML::RPC's default of us-ascii. Allows interoperation with
+    python's xmlrpc library, which threw invalid encoding exceptions and
+    caused the rst plugin to hang.
+  * Add the linkify and scan hooks. These hooks can be used to implement
+    custom, first-class types of wikilinks.
+  * Move standard wikilink implementation to a new link plugin, which
+    will of course be enabled by default.
+  * camelcase: Convert to use new linkify and scan hooks rather than the old
+    hack.
+  * Setting NOTAINT=1 had no effect when building ikiwiki itself, fix this.
+  * Depend on HTML::Scrubber, since the scrubber is enabled by default and
+    dies if its can't be loaded.
+  * The search plugin needs to override <base> to point to the directory
+    containing ikiwiki.cgi, but this should not change the urls to the style
+    sheets etc. Add a new forcebareurl parameter to misctemplate to allow
+    it to do that.
+  * Preview limits the page dropdown to what's selected previously
+    (as preserving the full list across preview would be tricky). Userdirs
+    were still being offered as an option there, remove them.
+  * Fix a bug where user A created a page concurrently with user B, and
+    when B previewed it would redirect B to A's new page, losing B's work.
+    Instead, don't redirect and let conflict handling resolve it.
+  * monotone: Add code to default mergerc file to run
+    _MTN/ikiwiki-netsync-hook when a commit is merged in from the net.
+  * tla: Remove call to escapeHTML when constructing recentchanges message;
+    the html is escaped at a different level. Closes: #466495
+  * bzr, mercurial: Remove unused import of escapeHTML.
+
+ -- Josh Triplett <josh@freedesktop.org>  Sun, 10 Feb 2008 13:18:58 -0800
+
+ikiwiki (2.31.3) unstable; urgency=high
+
+  [ Josh Triplett ]
+  * Do not allow the about: URI scheme; some browsers interpret about:
+    URIs like a limited version of data: URIs.  In particular, some
+    versions of Internet Explorer interpret arbitrary HTML content in
+    about: URIs.
+  * Also filter the attributes cite, longdesc, and usemap, which can contain
+    URIs.
+
+  [ Joey Hess ]
+  * meta: Check that the urls provided for authorurl, permalink, and openid
+    are safe and can't contain javascript.
+
+  [ Josh Triplett ]
+  * Match literal '.' in URI schemas containing '.', rather than matching any
+    character.
+  * Do not allow the steam: URI scheme.
+  * Allow the snews: URI scheme.
+  * Allow the smb: URI scheme.
+
+ -- Josh Triplett <josh@freedesktop.org>  Sun, 10 Feb 2008 14:48:48 -0800
+
+ikiwiki (2.31.2) unstable; urgency=high
+
+  * The security fix in the last release had buggy handling of data:image,
+    now fixed. Closes: #465110 (CVE-2008-0808, CVE-2008-0809)
+
+ -- Joey Hess <joeyh@debian.org>  Sun, 10 Feb 2008 15:31:17 -0500
+
+ikiwiki (2.31.1) unstable; urgency=low
+
   * htmlscrubber security fix: Block javascript in uris.
   * Add htmlscrubber test suite.
+  * Thanks to Josh Triplett for pointing out the holes and for his help
+    in implementing and checking fixes.
 
- -- Josh Triplett <josh@freedesktop.org>  Sat, 09 Feb 2008 23:01:19 -0800
+ -- Joey Hess <joeyh@debian.org>  Sun, 10 Feb 2008 13:22:59 -0500
 
 ikiwiki (2.31) unstable; urgency=low