]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - debian/changelog
HTML-escape error messages (CVE-2016-4561)
[git.ikiwiki.info.git] / debian / changelog
index 1f73523a4af65737337f5c667297c596c449942a..919814f2f8f01f7084a700874a19e5dd208c2fdb 100644 (file)
@@ -1,9 +1,325 @@
-ikiwiki (3.20110329) UNRELEASED; urgency=low
+ikiwiki (3.20120629.3) UNRELEASED; urgency=medium
 
-  * meta: Allow adding javascript to pages. Only when htmlscrubber is
-    disabled, naturally. (Thanks, Giuseppe Bilotta)
+  * HTML-escape error messages, in one case avoiding potential cross-site
+    scripting (CVE-2016-4561, OVE-20160505-0012)
+
+ -- Simon McVittie <smcv@debian.org>  Sun, 08 May 2016 15:33:51 +0100
+
+ikiwiki (3.20120629.2) wheezy; urgency=medium
+
+  [ Joey Hess ]
+  * Fix XSS in openid selector. Thanks, Raghav Bisht. (Closes: #781483;
+    CVE-2015-2793)
 
- -- Joey Hess <joeyh@debian.org>  Mon, 28 Mar 2011 13:08:23 -0400
+ -- Simon McVittie <smcv@debian.org>  Mon, 06 Apr 2015 20:34:51 +0100
+
+ikiwiki (3.20120629.1) wheezy; urgency=medium
+
+  Backport blogspam plugin from experimental, because the version in
+  wheezy is no longer usable:
+
+  [ Joey Hess ]
+  * Set Debian package maintainer to Simon McVittie as I'm retiring from
+    Debian.
+
+  [ Amitai Schlair ]
+  * blogspam: use the 2.0 JSON API (the 1.0 XML-RPC API has been EOL'd).
+    Closes: #774441
+
+ -- Simon McVittie <smcv@debian.org>  Sat, 17 Jan 2015 11:53:33 +0000
+
+ikiwiki (3.20120629) unstable; urgency=low
+
+  * mirrorlist: Add mirrorlist_use_cgi setting that avoids usedirs or
+    other config differences by linking to the mirror's CGI. (intrigeri)
+
+ -- Joey Hess <joeyh@debian.org>  Fri, 29 Jun 2012 10:16:08 -0400
+
+ikiwiki (3.20120516) unstable; urgency=high
+
+  * meta: Security fix; add missing sanitization of author and authorurl.
+    CVE-2012-0220 Thanks, Raúl Benencia
+
+ -- Joey Hess <joeyh@debian.org>  Wed, 16 May 2012 19:51:27 -0400
+
+ikiwiki (3.20120419) unstable; urgency=low
+
+  * Remove dead link from plugins/teximg. Closes: #664885
+  * inline: When the pagenames list includes pages that do not exist, skip
+    them.
+  * meta: Export author information in html <meta> tag. Closes: #664779
+    Thanks, Martin Michlmayr
+  * notifyemail: New plugin, sends email notifications about new and 
+    changed pages, and allows subscribing to comments.
+  * Added a "changes" hook. Renamed the "change" hook to "rendered", but
+    the old hook name is called for now for back-compat.
+  * meta: Support keywords header. Closes: #664780
+    Thanks, Martin Michlmayr
+  * passwordauth: Fix url in password recovery email to be absolute.
+  * httpauth: When it's the only auth method, avoid a pointless and
+    confusing signin form, and go right to the httpauthurl.
+  * rename: Allow rename to be started not from the edit page; return to
+    the renamed page in this case.
+  * remove: Support removing of pages in the transient underlay. (smcv)
+  * inline, trail: The pagenames parameter is now a list of absolute
+    pagenames, not relative wikilink type names. This is necessary to fix
+    a bug, and makes pagenames more consistent with the pagespec used
+    in the pages parameter. (smcv)
+  * link: Fix renaming wikilinks that contain embedded urls.
+  * graphviz: Handle self-links.
+  * trail: Improve CSS, also display trail links at bottom of page,
+    and a bug fix. (smcv)
+
+ -- Joey Hess <joeyh@debian.org>  Thu, 19 Apr 2012 15:32:07 -0400
+
+ikiwiki (3.20120319) unstable; urgency=low
+
+  * osm: New plugin to embed an OpenStreetMap into a wiki page.
+    Supports waypoints, tags, and can even draw paths matching
+    wikilinks between pages containing waypoints.
+    Thanks to Blars Blarson and Antoine Beaupré, as well as the worldwide
+    OpenStreetMap community for this utter awesomeness.
+  * trail: New plugin to add navigation trails through pages via Next and
+    Previous links. Trails can easily be added to existing inlines by setting
+    trail=yes in the inline.
+    Thanks to Simon McVittie for his persistance developing this feature.
+  * Fix a snail mail address. Closes: #659158
+  * openid-jquery.js: Update URL of Wordpress favicon. Closes: #660549
+  * Drop the version attribute on the generator tag in Atom feeds
+    to make builds more reproducible. Closes: #661569 (Paul Wise)
+  * shortcut: Support Wikipedia's form of url-encoding for unicode
+    characters, which involves mojibake. Closes: #661198
+  * Add a few missing jquery UI icons to attachment upload widget underlay.
+  * URI escape filename when generating the diffurl.
+  * Add build-affected hook. Used by trail.
+
+ -- Joey Hess <joeyh@debian.org>  Mon, 19 Mar 2012 14:24:43 -0400
+
+ikiwiki (3.20120202) unstable; urgency=low
+
+  * mdwn: Added nodiscount setting, which can be used to avoid using the
+    markdown discount engine, when maximum compatability is needed.
+  * Switch to YAML::XS to work around insanity in YAML::Mo. Closes: #657533
+  * cvs: Ensure text files are added in non-binary mode. (Amitai Schlair)
+  * cvs: Various cleanups and testing. (Amitai Schlair)
+  * calendar: Fix strftime encoding bug.
+  * shortcuts: Fixed a broken shortcut to wikipedia (accidentially
+    made into a shortcut to wikiMedia).
+  * Various portability improvements. (Amitai Schlair)
+
+ -- Joey Hess <joeyh@debian.org>  Thu, 02 Feb 2012 21:42:40 -0400
+
+ikiwiki (3.20120115) unstable; urgency=low
+
+  * Make backlink(.) work. Thanks, Giuseppe Bilotta.
+  * mdwn: Workaround discount's eliding of <style> blocks.
+  * attachment: Fix utf-8 display bug.
+
+ -- Joey Hess <joeyh@debian.org>  Sun, 15 Jan 2012 16:19:25 -0400
+
+ikiwiki (3.20120109) unstable; urgency=low
+
+  * mdwn: Can use the discount markdown library, via the
+    Text::Markdown::Discount perl module. This is preferred if available
+    since it's the fastest currently supported markdown library, speeding up
+    ikiwiki's markdown rendering by a factor of 40.
+    (However, when multimarkdown is enabled, Text::Markdown::Multimarkdown
+    is still used.)
+  * On Debian, depend on libtext-markdown-discount.
+
+ -- Joey Hess <joeyh@debian.org>  Mon, 09 Jan 2012 11:49:14 -0400
+
+ikiwiki (3.20111229) unstable; urgency=low
+
+  * Consume all stdin when rcs_receive short-circuits,
+    to avoid git SIGPIPE race.
+  * Add path and path_natural sort orders (smcv)
+  * Test coverage can be checked with `make coverage` (smcv)
+  * tag: encode categories using numeric values. (tango)
+
+ -- Joey Hess <joeyh@debian.org>  Thu, 29 Dec 2011 12:00:53 -0400
+
+ikiwiki (3.20111107) unstable; urgency=low
+
+  * img: Bugfix to width/height tags for scaled down image when only
+    one dimension was provided. Thanks, Per Carlson.
+  * editpage: Fix FormattingHelp link on Discussion pages.
+  * The umask setting can now be set to private, group, or public,
+    avoiding the need to enter octal correctly which is particularly
+    difficult in yaml setup files. (smcv)
+  * graphviz: Support urls embedded in the graph, by having graphviz
+    generate an imagemap.
+  * graphviz: Support wikilinks embedded in the graph.
+    (Sponsored by The TOVA Company.)
+
+ -- Joey Hess <joeyh@debian.org>  Wed, 30 Nov 2011 16:31:48 -0400
+
+ikiwiki (3.20111106) unstable; urgency=low
+
+  * searchquery.tmpl: Track escaping change in upstream template.
+    Thanks Olly Betts for review.
+  * svn: Support subversion 1.7, which does not have .svn in each
+    subdirectory.
+  * rst: import docutils lazily, to avoid errors during ikiwiki --setup.
+    Closes: #637604 (Thanks, smcv)
+  * Make the setup automator create YAML formatted files.
+  * Fix handling of discussion page creation links to make discussion pages
+    in the right place and with the right case. Broken by page case
+    preservation feature added in 3.20110707.
+
+ -- Joey Hess <joeyh@debian.org>  Sun, 06 Nov 2011 16:27:29 -0400
+
+ikiwiki (3.20110905) unstable; urgency=low
+
+  * mercurial: Openid nicknames are now used when committing. (Daniel Andersson)
+  * mercurial: Implement rcs_commit_staged so comments, attachments, etc
+    can be used. (Daniel Andersson)
+  * mercurial: Implement rcs_rename, rcs_remove. (Daniel Andersson)
+  * mercurial: Fix viewing of a diff containing non-utf8 changes.
+    (Daniel Andersson)
+  * mercurial: Make both rcs_getctime and rcs_getmtime fast. (Daniel Andersson)
+  * mercurial: Implement rcs_diff. (Daniel Andersson)
+  * po: Add `LANG_CODE` and `LANG_NAME` template variables. (intrigeri)
+  * Fix typo in Danish translation of shortcuts page that caused exponential
+    regexp blowup.
+  * Fix escaping of html entities in permalinks.
+  * Fix escaping of html entities in tag names.
+  * Avoid using named capture groups in heredoc code for oldperl compatibility.
+  * Put in a workaround for #622591, by ensuring Search::Xapian gets loaded
+    before Image::Magick.
+  * Add unminified jquery js and css files to source.
+  * Update to jquery 1.6.2, and jquery-ui 1.8.14.
+  * Use lockf rather than flock when taking the cgilock, for better
+    portability.
+  * search: Fix encoding bug in calculation of maximum term size.
+  * inline: When indexing internal pages for searching, use the url of
+    the inlining page.
+  * Fix comments testsuite to not rely on Date::Parse's ability to
+    parse the date Columbus discovered America. Closes: #640350
+  * Avoid warning message when generating setup file if highlight
+    is not installed. Closes: #637606
+  * Promote RPC::XML to a Recommends, since it's used by auto-blog.setup.
+    Closes: #637603
+  * Fix web revert of a file deletion.
+
+ -- Joey Hess <joeyh@debian.org>  Mon, 05 Sep 2011 14:53:00 -0400
+
+ikiwiki (3.20110715) unstable; urgency=low
+
+  * rename: Fix logic error that broke renaming pages when the attachment
+    plugin was disabled.
+  * rename: Fix logic error that bypassed the usual pagespec checks.
+
+ -- Joey Hess <joeyh@debian.org>  Fri, 15 Jul 2011 18:36:29 -0400
+
+ikiwiki (3.20110712) unstable; urgency=low
+
+  * attachment: Bugfix to create directory when moving attachment out of 
+    holding area.
+  * Display attachment manipulation links always, since attachments can be
+    uploaded via javascript.
+
+ -- Joey Hess <joeyh@debian.org>  Tue, 12 Jul 2011 00:41:26 -0400
+
+ikiwiki (3.20110711) unstable; urgency=low
+
+  * Add build dep on python-support. Closes: #633536
+  * attachment: Bugfix to move upload attachments out of holding area
+    when saving.
+  * attachment: Bugfix for trying to attach files to a subpage of the index
+    page.
+
+ -- Joey Hess <joeyh@debian.org>  Mon, 11 Jul 2011 13:03:04 -0400
+
+ikiwiki (3.20110707) unstable; urgency=low
+
+  * userlist: New plugin, lets admins see a list of users and their info.
+  * aggregate: Improve checking for too long aggregated filenames.
+  * Updated to jQuery 1.6.1.
+  * attachment: Speed up multiple file uploads by storing uploaded files
+    in a staging area until the page is saved/previewed, rather than
+    refreshing the site after each upload.
+    (Sponsored by The TOVA Company.)
+  * attachment: Files can be dragged into the edit page to upload them.
+    Multiple file batch upload support. Upload progress bars.
+    AJAX special effects. Impemented using the jQuery-File-Upload widget.
+    (If you don't have javascript don't worry, I kept that working too.)
+    (Sponsored by The TOVA Company.)
+  * Add libtext-multimarkdown-perl to Suggests. Closes: #630705
+  * headinganchors: Plugin by Paul Wise that adds ids to <hn> headings.
+  * html5 is not experimental anymore. But not the default either, quite yet.
+  * Support svg as a inlinable image type; svg images can be included on a
+    page by simply linking to them, or by using the img directive.
+    Note that sanitizing svg files is still not addressed.
+  * img: Generate png format thumbnails for svg images.
+  * Preserve mixed case in page creation links, and when creating a page
+    whose title is mixed case, allow selecting between the mixed case and
+    all lower-case names.
+  * Fix ikiwiki-update-wikilist -r to actually work.
+  * comments: collect metadata in a scan-phase preprocess hook, which
+    fixes sorting comments by date. (smcv)
+  * Run scan hooks for internal pages (preprocess hooks already run in scan
+    mode) (smcv)
+  * inline: Handle obfuscated urls, such as the mailto urls generated by
+    markdown when forcing urls absolute.
+  * Bugfix for wikilink containing an email address not showing up in 
+    brokenlinks list.
+  * Bugfix for trying to attach files to a subpage of the index page.
+
+ -- Joey Hess <joeyh@debian.org>  Thu, 07 Jul 2011 20:38:31 -0400
+
+ikiwiki (3.20110608) unstable; urgency=high
+
+  * ikiwiki-mass-rebuild: Fix tty hijacking vulnerability by using su.
+    (Once su's related bug #628843 is fixed.) Thanks, Ludwig Nussel.
+    (CVE-2011-1408)
+  * search: Update search page when page.tmpl or searchquery.tmpl are locally
+    modified.
+
+ -- Joey Hess <joeyh@debian.org>  Fri, 03 Jun 2011 20:30:35 -0400
+
+ikiwiki (3.20110431) unstable; urgency=low
+
+  * Danish translation update. Closes: #625721
+  * Danish underlay translation update. Closes: #625765
+    (Thanks, Jonas Smedegaard)
+  * Support YAML::XS by not passing decoded unicode to Load. Closes: #625713
+  * openid, aggregate, pinger: Use Net::INET6Glue if available to
+    support making ipv6 connections. (Note that if LWPx::ParanoidAgent
+    is installed, it defeats this for openid.)
+  * Add additional directive quoting styles, to better support nested
+    directives. Both triple-single-quote and heredoc quotes can be used.
+    (Thanks, Timo Paulssen)
+  * Changed license of madduck's python plugins from GPL-2 to BSD-2-clause.
+  * po: support language codes in the form of 'es_AR', and 'arn'. (intrigeri)
+    Closes: #627844
+  * po: Make po4a warn, not error on a malformed document. (intrigeri)
+  * Support the Hiawatha web server which sets HTTPS=off rather than not
+    setting it. (There does not seem to be a standard here.)
+
+ -- Joey Hess <joeyh@debian.org>  Fri, 03 Jun 2011 14:38:23 -0400
+
+ikiwiki (3.20110430) unstable; urgency=low
+
+  * meta: Allow adding javascript to pages. Only when htmlscrubber is
+    disabled, naturally. (Thanks, Giuseppe Bilotta) Closes: #623154
+  * comments: Add avatar picture of comment author, using Libravatar::URL
+    when available. The avatar is looked up based on the user's openid,
+    or email address. (Thanks, Francois Marier)
+  * Recommend libgravatar-url-perl, which contains Libravatar::URL.
+  * monotone: Implement rcs_getmtime, and work around a problem with monotone
+    0.48 that affects rcs_getctime. (Thanks, Richard Levitte)
+  * meta: Fix bug in loading of HTML::Entities that can break inline
+    archive=yes (mostly masked by other plugins that load the module).
+  * Be quiet about updating wrappers, except in verbose mode. (jmtd)
+  * meta: Add FOAF support. Closes: #623156 (Jonas Smedegaard)
+  * Promote Crypt::SSLeay to Recommends; needed for https openid auth.
+  * tag: Avoid autocreating multiple tag pages that vary only in
+    capitalization. The first capitalization seen of a tag will be used
+    for the tag page.
+  * Fix yaml build dep. Closes: #624712
+
+ -- Joey Hess <joeyh@debian.org>  Sat, 30 Apr 2011 17:13:24 -0400
 
 ikiwiki (3.20110328) unstable; urgency=low
 
@@ -14,7 +330,7 @@ ikiwiki (3.20110328) unstable; urgency=low
   * comment: Better fix to avoid showing comments of subpages, while
     not breaking manual inlining of comments.
   * meta: Security fix; don't allow alternative stylesheets to be added
-    on pages where the htmlscrubber is enabled.
+    on pages where the htmlscrubber is enabled. CVE-2011-1401
 
  -- Joey Hess <joeyh@debian.org>  Mon, 28 Mar 2011 12:23:26 -0400