document security fix
authorJoey Hess <joey@kodama.kitenet.net>
Sun, 10 Feb 2008 19:00:00 +0000 (14:00 -0500)
committerJoey Hess <joey@kodama.kitenet.net>
Sun, 10 Feb 2008 19:00:00 +0000 (14:00 -0500)
The backported fix for stable is tagged and waiting for the security team
to upload.

doc/security.mdwn

index c51cd5b953727c6aa900c483bf616b6e321e3687..d834aa1a5e726deb51790fb5454d58cf77407db5 100644 (file)
@@ -345,3 +345,13 @@ day with the release of ikiwiki 2.14. I recommend upgrading to this version
 if your wiki can be committed to by third parties. Alternatively, don't use
 a trailing slash in the srcdir, and avoid the (unusual) configurations that
 allow the security hole to be exploited.
 if your wiki can be committed to by third parties. Alternatively, don't use
 a trailing slash in the srcdir, and avoid the (unusual) configurations that
 allow the security hole to be exploited.
+
+## javascript insertion via uris
+
+The htmlscrubber did not block javascript in uris. This was fixed by adding
+a whitelist of valid uri types, which does not include javascript.
+
+This hole was discovered on 10 February 2008 and fixed the same day
+with the release of ikiwiki 2.31.1. A fix was also backported to Debian etch,
+as version 1.33.4. I recommend upgrading to one of these versions if your
+wiki can be edited by third parties.