]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - debian/changelog
git: Do not disable commit hook for temporary working tree
[git.ikiwiki.info.git] / debian / changelog
index cefbb99edb0e08bc49fe4de00c13feee95f57f67..22b79af0f3e1f7b87ea65e7e9af676da72bbfaba 100644 (file)
@@ -1,3 +1,74 @@
+ikiwiki (3.20120629.2+deb7u1) wheezy-security; urgency=medium
+
+  * HTML-escape error messages, in one case avoiding potential cross-site
+    scripting (CVE-2016-4561, OVE-20160505-0012)
+  * Update img plugin to version 3.20160509 to mitigate ImageMagick
+    vulnerabilities, including remote code execution (CVE-2016-3714):
+    - Never convert SVG images to PNG; simply pass them through to the
+      browser. This prevents exploitation of any ImageMagick SVG coder
+      vulnerabilities. (joeyh)
+    - Do not resize image formats other than JPEG, PNG, GIF unless
+      specifically configured to do so. This prevents exploitation
+      of any vulnerabilities in less common coders, such as MVG.
+      (schmonz, smcv)
+    - Do not resize JPEG, PNG, GIF, PDF images if their extensions do
+      not match their "magic numbers", because wiki admins might try to
+      restrict attachments by extension, but ImageMagick can base its
+      choice of coder on the magic number. Explicitly force the
+      obvious ImageMagick coder to be used. (smcv)
+  * Minor non-security changes resulting from that update, since
+    reverting them seems higher-risk than keeping them:
+    - Add PDF support, disabled by the above changes unless specifically
+      configured (chrysn)
+    - Only render one frame or page from animated GIF or multi-page PDF
+      (chrysn)
+    - Do not distort aspect ratio when resizing small images (chrysn)
+    - Use data: URLs to embed images in page previews (chrysn)
+    - Raise an error if the image's size cannot be determined (chrysn)
+    - Handle filenames containing a colon correctly (smcv)
+  * Add t/img.t regression test also taken from version 3.20160506
+    (chrysn, joeyh, schmonz, smcv)
+  * debian/tests: add metadata to run the img test as an autopkgtest
+
+ -- Simon McVittie <smcv@debian.org>  Mon, 09 May 2016 22:38:35 +0100
+
+ikiwiki (3.20120629.2) wheezy; urgency=medium
+
+  [ Joey Hess ]
+  * Fix XSS in openid selector. Thanks, Raghav Bisht. (Closes: #781483;
+    CVE-2015-2793)
+
+ -- Simon McVittie <smcv@debian.org>  Mon, 06 Apr 2015 20:34:51 +0100
+
+ikiwiki (3.20120629.1) wheezy; urgency=medium
+
+  Backport blogspam plugin from experimental, because the version in
+  wheezy is no longer usable:
+
+  [ Joey Hess ]
+  * Set Debian package maintainer to Simon McVittie as I'm retiring from
+    Debian.
+
+  [ Amitai Schlair ]
+  * blogspam: use the 2.0 JSON API (the 1.0 XML-RPC API has been EOL'd).
+    Closes: #774441
+
+ -- Simon McVittie <smcv@debian.org>  Sat, 17 Jan 2015 11:53:33 +0000
+
+ikiwiki (3.20120629) unstable; urgency=low
+
+  * mirrorlist: Add mirrorlist_use_cgi setting that avoids usedirs or
+    other config differences by linking to the mirror's CGI. (intrigeri)
+
+ -- Joey Hess <joeyh@debian.org>  Fri, 29 Jun 2012 10:16:08 -0400
+
+ikiwiki (3.20120516) unstable; urgency=high
+
+  * meta: Security fix; add missing sanitization of author and authorurl.
+    CVE-2012-0220 Thanks, Raúl Benencia
+
+ -- Joey Hess <joeyh@debian.org>  Wed, 16 May 2012 19:51:27 -0400
+
 ikiwiki (3.20120419) unstable; urgency=low
 
   * Remove dead link from plugins/teximg. Closes: #664885