Release to wheezy-security

Update changelog for latest backport

Installing ikiwiki on a shared-hosting server, there may be no access to
install prerequisite Perl modules in the systemwide locations. They may
have to be installed under the home directory, such as by using local::lib
(which is how the cPanel Perl-module installer works, on systems that use it).

For that to work, the local::lib-defined value for PERL5LIB must be in
the environment when Perl starts up. The former way %config{ENV} was handled
was too late, depending on the Perl code to unpack it from the storable and
put it into the environment.

Easy solution is to build the wrapper to repopulate the environment based on
%config{ENV} before ever exec'ing Perl (and then remove it from the storable
as there is nothing more that the Perl code will need to do with it).

Split CFLAGS into words when building wrapper. Closes: #682237

permalink test: start by deleting t/tmp

Otherwise, tests that don't end by deleting t/tmp (which is a useful
change when debugging a failing test) would cause this one to fail.

Update changelog

debian/tests/control: set INSTALLED_TESTS=1 here

pkg-perl-autopkgtest in jessie didn't support
debian/tests/pkg-perl/smoke-env. This solution has been used in
jessie-backports for several months.

(cherry picked from commit c7bdebaaf134729356852918b387071c92f85e72)

t/html.t: skip if running installed

This test was already deleted from git master by the time we added
installed-tests support there.

Run autopkgtest tests using autodep8 and the pkg-perl team's infrastructure

(cherry picked from commit cdfb4ab1a3c60bf699b8d77618ec9bdf526cdb35)

d/control: add enough build-dependencies to run all tests, except for non-git VCSs

git: don't redundantly pass "--" to git_sha1

git_sha1 already puts "--" before its arguments, so

    git_sha1_file($dir, 'doc/index.mdwn')

would have incorrectly invoked

    git rev-list --max-count=1 HEAD -- -- doc/index.mdwn

If there is no file in the wiki named "--", that's harmless, because
it merely names the latest revision in which either "--" or
"doc/index.mdwn" changed. However, it could return incorrect results
if there is somehow a file named "--".

(cherry picked from commit 0463357392471f58ccd2c7f39cafabd8472e129b)

git: use parameters, not global state, to swap working directory

(cherry picked from commit 59632384d963ec07b406d413df68079af794b56e)

Revert "git: Turn $git_dir into a stack"

Now that we have avoided using in_git_dir recursively, we don't need
the stack any more.

This reverts commit 39b8931ad31fe6b48afdc570caa459a0996c2092.

(cherry picked from commit c29c230c33fa4c4994d979fa4d6fcdf280ee8dc6)

git-cgi.t: when committing directly, make sure we have a valid author

In the environment used on ci.debian.net, we have neither a name nor
an email address.

(cherry picked from commit ca1b06d599c610643495100186a1786d9c3dcc35)

git: do not mix in_git_dir with eval{}

If we throw an exception (usually from run_or_die), in_git_dir won't
unshift the current directory from the stack. That's usually fine,
but in rcs_preprevert we catch exceptions and do some cleanup before
returning, for which we need the git directory to be the root and
not the temporary working tree.

(cherry picked from commit 650445645430931bea5947a217fa425b0ca3b521)

t/git-cgi.t: fix race condition

We need the changes to take place at least 1 second after the first
rebuild, so that the changed files are seen to have changed.

(cherry picked from commit 62c9df67212c7c42eb03ad9e36891afe4bc2d9a2)

git: Do not disable commit hook for temporary working tree

We exclude .git/hooks from symlinking into the temporary working tree,
which avoids the commit hook being run for the temporary branch anyway.
This avoids the wiki not being updated if an orthogonal change is
received in process A, while process B prepares a revert that is
subsequently cancelled.

(cherry picked from commit d092b0b77701a4c5cd9c8464b774a6a1da1f02cd)

git: Attribute reverts to the user doing the revert, not the wiki itself

(cherry picked from commit afda05479645ccf64bc2cb534d023c5a8cb0a5ae)

git: Add test coverage for reverting attachments

(cherry picked from commit 29b91c970bdc7a8856c0b4f8dbcd915614a46006)

git: write proposed attachment to temp file without going via system()

(cherry picked from commit 4ad4fc33b52c7a2636eec810ca280efe65497fc9)

git: change calling convention of safe_git to have named arguments

(cherry picked from commit 7f2235478d4331b8738e9a9dc8d6d6c08461cd5c)

git: Do the revert operation in a secondary working tree

This avoids leaving the git directory in an inconsistent state if the
host system is rebooted while we are processing a revert.

(cherry picked from commit 7e84a1f9d88a1f546188a28524fedbdf53bb8729)

git: Turn $git_dir into a stack

This will be necessary when we use a secondary working tree to do
reverts without leaving the primary working tree in an inconsistent
state.

(cherry picked from commit 39b8931ad31fe6b48afdc570caa459a0996c2092)

Add automated test for using the CGI with git, including CVE-2016-10026

(cherry picked from commit fa64672d40f877f3bf9cf245cda0cc3f3837c50c)

Try revert operations (on a branch) before approving them

Otherwise, we have a time-of-check/time-of-use vulnerability:
rcs_preprevert previously looked at what changed in the commit we are
reverting, not at what would result from reverting it now. In
particular, if some files were renamed since the commit we are
reverting, a revert of changes that were within the designated
subdirectory and allowed by check_canchange() might now affect
files that are outside the designated subdirectory or disallowed
by check_canchange().

OVE-20161226-0002

git: do not fail to commit if committer is anonymous

(cherry picked from commit c86046090e1dc31035e4db12e4f29562634d621e)

git: don't issue a warning if rcsinfo is undefined

The intention here seems to be that $prev may be undefined, and the
only way that can legitimately happen is for $params{token} to be
undefined too.

(cherry picked from commit fd14cd2a4355684951bb40a1e72e8b0960a674fd)

Use git log --no-renames for recentchanges

Otherwise, recent git releases show renames as renames, and we do not
see that newdir/test5 was affected.

Bug-Debian: https://bugs.debian.org/835612
(cherry picked from commit 276f0cf57861418fae5b4db8446d3d1098130cdf)

Correctly handle filenames starting with a dash in add/rm/mv.

(cherry picked from commit bbdba8d770b73bc44f55219615b360484b7d240f)

ensure_committer: don't do anything if we have the environment variables

(cherry picked from commit 1f635c6dcaeff8f869f874f659da875c4e7f1863)

Don't memoize ensure_committer

This makes it harder to test, and if we're invoking git anyway,
a couple of extra subprocesses are no big deal.

(cherry picked from commit 8550c397016bd66095f24de64b077526e08bbab2)

git: if no committer identity is known, set it to "IkiWiki <ikiwiki.info>" in .git/config

This resolves commit errors in versions of git that require a non-trivial
committer identity.

(cherry picked from commit ed1e1ebe70c8aec06a759d8cd0168f242d28ac17)

Revert "Tell `git revert` not to follow renames (CVE-2016-10026)"

This doesn't work prior to git 2.8: `git revert` silently ignores the
option and succeeds. We will have to fix CVE-2016-10026 some other way.

This reverts commit bb5cf4a0940b8fd2750c6175adb15382b84c71e2.

Tell `git revert` not to follow renames (CVE-2016-10026)

Otherwise, we have an authorization bypass vulnerability: rcs_preprevert
looks at what changed in the commit we are reverting, not at what would
result from reverting it now. In particular, if some files were renamed
since the commit we are reverting, a revert of changes that were within
the designated subdirectory and allowed by check_canchange() might now
affect files that are outside the designated subdirectory or disallowed
by check_canchange().

Signed-off-by: Simon McVittie <smcv@debian.org>

CGI, attachment, passwordauth: harden against repeated parameters

These instances of code similar to OVE-20170111-0001 are not believed
to be exploitable, because defined(), length(), setpassword(),
userinfo_set() and the binary "." operator all have prototypes that
force the relevant argument to be evaluated in scalar context. However,
using a safer idiom makes mistakes less likely.

Force CGI::FormBuilder->field to scalar context where necessary

CGI::FormBuilder->field has behaviour similar to the CGI.pm misfeature
we avoided in f4ec7b0. Force it into scalar context where it is used
in an argument list.

This prevents two (relatively minor) commit metadata forgery
vulnerabilities:

* In the comments plugin, an attacker who was able to post a comment
  could give it a user-specified author and author-URL even if the wiki
  configuration did not allow for that, by crafting multiple values
  to other fields.
* In the editpage plugin, an attacker who was able to edit a page
  could potentially forge commit authorship by crafting multiple values
  for the rcsinfo field.

The remaining plugins changed in this commit appear to have been
protected by use of explicit scalar prototypes for the called functions,
but have been changed anyway to make them more obviously correct.
In particular, checkpassword() in passwordauth has a known prototype,
so an attacker cannot trick it into treating multiple values of the
name field as being the username, password and field to check for.

OVE-20161226-0001

(cherry picked from commit c1120bbbe8fdea20cf64fa12247f4f4a4006c834)

passwordauth: avoid userinfo forgery via repeated email parameter

OVE-20170111-0001

t/passwordauth.t: new automated test for passwordauth

In particular this includes an exploit for OVE-20170111-0001.

passwordauth: prevent authentication bypass via multiple name parameters

Calling CGI::FormBuilder::field with a name argument in list context
returns zero or more user-specified values of the named field, even
if that field was not declared as supporting multiple values.
Passing the result of field as a function parameter counts as list
context. This is the same bad behaviour that is now discouraged
for CGI::param.

In this case we pass the multiple values to CGI::Session::param.
That accessor has six possible calling conventions, of which four are
documented. If an attacker passes (2*n + 1) values for the 'name'
field, for example name=a&name=b&name=c, we end up in one of the
undocumented calling conventions for param:

    # equivalent to: (name => 'a', b => 'c')
    $session->param('name', 'a', 'b', 'c')

and the 'b' session parameter is unexpectedly set to an
attacker-specified value.

In particular, if an attacker "bob" specifies
name=bob&name=name&name=alice, then authentication is carried out
for "bob" but the CGI::Session ends up containing {name => 'alice'},
an authentication bypass vulnerability.

This vulnerability is tracked as OVE-20170111-0001.

Update git plugin to version 3.20141016.3 (Debian jessie)

This adds some new hooks that are never actually called in this
version, but that's harmless.

commit 59cfb9b6d0f5f60516d17c79365318711a92fb04
Author: Joey Hess <joey@kitenet.net>
Date:   2014-04-05 19:09:05 -0400

    only_committed_changes could fail in a git repository merged with git merge -s ours.

commit c1fbd66c031980f89e6b28862fe90813b1074c2e
Merge: b5b8c5cec be3483fe9
Author: Joey Hess <joey@kitenet.net>
Date:   2014-02-23 14:19:39 -0400

    Merge remote-tracking branch 'remotes/smcv/ready/git-push-origin-master'

commit be3483fe9be559a62dd88577b3a374d55b7262f3
Author: Simon McVittie <smcv@debian.org>
Date:   2014-02-21 11:23:17 +0000

    git: explicitly specify the branch to push to origin

    git's behaviour when doing "git push origin" is configurable, and the
    default is going to change in 2.0. In particular, if you've set
    push.default to "nothing", the regression test will warn:

    fatal: You didn't specify any refspecs to push, and push.default
    is "nothing".
    'git push origin' failed:  at .../lib/IkiWiki/Plugin/git.pm line 220.

commit d52774dd458059ba1442fdac1daf648dc4f228de
Author: intrigeri <intrigeri@boum.org>
Date:   2013-12-31 01:27:21 +0000

    Do not UTF8-escape "/" in Git's diffurl: cgit does not support this.

commit 441002e3e6b7f979eb4ef1d2525add2ea308ba6a
Author: Joey Hess <joey@kitenet.net>
Date:   2013-11-16 20:48:23 -0400

    deal with the case where oldrev is the same as newrev

commit 727d39b92a90619027badbd4fd28d37a51c25d16
Author: Joey Hess <joey@kitenet.net>
Date:   2013-11-16 18:56:39 -0400

    fix eq

commit 654530fa8bb0937123ed526e3093170ef23f5295
Author: Joey Hess <joey@kitenet.net>
Date:   2013-11-16 17:26:20 -0400

    Added only_committed_changes config setting, which speeds up wiki refresh by querying git to find the files that were changed, rather than looking at the work tree. Not enabled by default as it can break some setups where not all files get committed to git.

commit 946af13ae60da6a8688e66bbe17dd1a012e5d747
Author: Joey Hess <joey@kitenet.net>
Date:   2013-07-10 21:52:43 -0400

    Pass --no-edit when used with git 1.7.8 and newer.

    Not sure if this is needed to avoid it trying to run an editor. Probably
    there is never a controlling terminal and probably git notices and does
    nothing. But I'm just copying what I have in git-annex assistant here.

    (Although with a much worse git version comparion, that only really works due
    to luck.)

commit b162563dc1c6126953e66cdcc508f389b9d39d8e
Author: Joey Hess <joey@kitenet.net>
Date:   2013-07-10 21:48:16 -0400

    Deal with git behavior change in 1.7.8 and newer that broke support for commits with an empty commit message.

commit 12c9219d671c672fedcf9e9ab7f9187b23b8f7f4
Author: Shlomi Fish <shlomif@shlomifish.org>
Date:   2012-12-17 22:44:54 +0200

    Fix some warnigns in recent perls.

    All existing tests pass.

Second try at 3.20120629.2+deb7u1

img test: exercise upper-case extensions for image files

Detect image type from .JPG just like .jpg (etc.).

3.20120629+deb7u1

debian/tests: add metadata to run the img test as an autopkgtest

Add t/img.t regression test also taken from version 3.20160506

(chrysn, joeyh, schmonz, smcv)

Update img plugin to version 3.20160506

* Update img plugin to version 3.20160506 to mitigate ImageMagick
  vulnerabilities, including remote code execution (CVE-2016-3714):
  - Never convert SVG images to PNG; simply pass them through to the
    browser. This prevents exploitation of any ImageMagick SVG coder
    vulnerabilities. (joeyh)
  - Do not resize image formats other than JPEG, PNG, GIF unless
    specifically configured to do so. This prevents exploitation
    of any vulnerabilities in less common coders, such as MVG. (smcv)
  - Do not resize JPEG, PNG, GIF, PDF images if their extensions do
    not match their "magic numbers", because wiki admins might try to
    restrict attachments by extension, but ImageMagick can base its
    choice of coder on the magic number. Explicitly force the
    obvious ImageMagick coder to be used. (smcv)
* Minor non-security changes resulting from that update, since
  reverting them seems higher-risk than keeping them:
  - Add PDF support, disabled by the above changes unless specifically
    configured (chrysn)
  - Only render one frame or page from animated GIF or multi-page PDF
    (chrysn)
  - Do not distort aspect ratio when resizing small images (chrysn)
  - Use data: URLs to embed images in page previews (chrysn)
  - Raise an error if the image's size cannot be determined (chrysn)
  - Handle filenames containing a colon correctly (smcv)

HTML-escape error messages (CVE-2016-4561)

The instance in cgierror() is a potential cross-site scripting attack,
because an attacker could conceivably cause some module to raise an
exception that includes attacker-supplied HTML in its message, for
example via a crafted filename. (OVE-20160505-0012, CVE-2016-4561)

The instances in preprocess() is just correctness. It is not a
cross-site scripting attack, because an attacker could equally well
write the desired HTML themselves; the sanitize hook is what
protects us from cross-site scripting here.

3.20120629.2

Fix XSS in openid selector. Thanks, Raghav Bisht.

Conflicts:
debian/changelog
doc/bugs/XSS_Alert...__33____33____33__.html

correct double-negative

wheezy release candidate

close debian bug I opened about blogspam

Conflicts:
debian/changelog

blogspam uses JSON instead of RPC::XML now.

Update blogspam to the 2.0 API.

[backport to Debian wheezy, open-coding a simple version of useragent() -smcv]

Conflicts:
IkiWiki/Plugin/blogspam.pm
debian/changelog

Set Debian package maintainer to Simon McVittie as I'm retiring from Debian.

Conflicts:
debian/changelog
debian/control

releasing version 3.20120629

cleanup

add signature

add

Question re: google search missing results

bug on trail plugin

Added a comment: Popup listing multiple entries per day

Contrib plugin created_in_future

Contrib plugin monthcalendar

Contrib plugin jscalendar : a javascript calendar

rename contrib/jscalendar.mdwn to plugins/contrib/jscalendar.mdwn

rename todo/Javascript_calendar.mdwn to contrib/jscalendar.mdwn

will put in in the forum, sry

This reverts commit f2b421b26b9ceb68b19a11140936537353da51de

comment removal question

created page: Can not advance past first page of results using search plugin

created user page

Merge branch 'master' of ssh://git.ikiwiki.info

mirrorlist: Add mirrorlist_use_cgi setting that avoids usedirs or other config differences by linking to the mirror's CGI. (intrigeri)

Merge remote-tracking branch 'intrigeri/mirrorlist'

Added a comment

sadly still lost

Merge branch 'master' of ssh://git.ikiwiki.info

Merge branch 'master' of ssh://git.ikiwiki.info

Ping'ing Joey.

Added a comment: kind of solved, but another problem comes up

Merge branch 'master' of ssh://git.ikiwiki.info

removed

Added a comment: ceci est un test

update for rename of todo/Olea.mdwn to users/Olea.mdwn

update for rename of todo/Olea.mdwn to users/Olea.mdwn

rename todo/Olea.mdwn to users/Olea.mdwn