]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/commitdiff
Do not recommend mimetype(image/*)
authorSimon McVittie <smcv@debian.org>
Fri, 6 May 2016 06:46:58 +0000 (07:46 +0100)
committerSimon McVittie <smcv@debian.org>
Fri, 6 May 2016 06:46:58 +0000 (07:46 +0100)
Not all image file types are safe for general use: in particular,
image/svg+xml is known to be vulnerable to CVE-2016-3714 under some
ImageMagick configurations.

doc/ikiwiki/pagespec/attachment.mdwn

index fa2bc58679afd9044bdab4c4b8bf1a5b16702770..868fb2310d250da5e493a179b3e47fac263628e3 100644 (file)
@@ -12,7 +12,7 @@ while allowing larger mp3 files to be uploaded by joey into a specific
 directory, and check all attachments for viruses, something like this could be
 used:
   
-       virusfree() and ((user(joey) and podcast/*.mp3 and mimetype(audio/mpeg) and maxsize(15mb)) or (mimetype(image/*) and maxsize(50kb)))
+       virusfree() and ((user(joey) and podcast/*.mp3 and mimetype(audio/mpeg) and maxsize(15mb)) or ((mimetype(image/jpeg) or mimetype(image/png)) and maxsize(50kb)))
 
 The regular [[ikiwiki/PageSpec]] syntax is expanded with the following
 additional tests: