d78b42c54aba4f1b54e438c9ae7bc20534da016c
[ikiwiki.git] / doc / news / version_2.48.mdwn
1 **This release fixes an important security hole, upgrade immediately.**
2
3 News for ikiwiki 2.48:
4
5    If you allowed password based logins to your wiki, those passwords were
6    stored in cleartext in the userdb. To guard against exposing users'
7    passwords, I recommend you install the Authen::Passphrase perl module, and
8    then run `ikiwiki-transition hashpassword /path/to/srcdir` to replace all
9    existing cleartext passwords with strong (blowfish) hashes.
10
11 ikiwiki 2.48 released with [[toggle text="these changes"]]
12 [[toggleable text="""
13    * Fix security hole that occurred if openid and passwordauth were both
14      enabled. passwordauth would allow logging in as a known openid, with an
15      empty password. Closes: #[483770](http://bugs.debian.org/483770)
16    * Add rel=nofollow to edit links. This may prevent some spiders from
17      pounding on the cgi following edit links.
18    * passwordauth: If Authen::Passphrase is installed, use it to store
19      password hashes, crypted with Eksblowfish.
20    * `ikiwiki-transiition hashpassword /path/to/srcdir` can be used to
21      hash existing plaintext passwords.
22    * Passwords will no longer be mailed, but instead a password reset link.
23    * The password\_cost config setting is provided as a "more security" knob.
24    * teximg: Fix logurl.
25    * teximg: If the log isn't written, avoid ugly error messages.
26    * Updated French translation. Closes: #[478530](http://bugs.debian.org/478530)"""]]