security note

author joey <joey@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>

Sun, 30 Jul 2006 06:08:56 +0000 (06:08 +0000)

committer joey <joey@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>

Sun, 30 Jul 2006 06:08:56 +0000 (06:08 +0000)
author joey <joey@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>
Sun, 30 Jul 2006 06:08:56 +0000 (06:08 +0000)
committer joey <joey@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>
Sun, 30 Jul 2006 06:08:56 +0000 (06:08 +0000)
diff --git a/doc/security.mdwn b/doc/security.mdwn

index e72b3fe2bdf2af7de90ae2766c337f83ae933e43..4db756e2e001fde219e2388586f9369cba45510e 100644 (file)
--- a/doc/security.mdwn
+++ b/doc/security.mdwn
@@ -18,6 +18,14 @@ Anyone with direct commit access can forge "web commit from foo" and
  make it appear on [[RecentChanges]] like foo committed. One way to avoid
  this would be to limit web commits to those done by a certian user.
  
+## XML::Parser
+
+XML::Parser is used by the aggregation plugin, and has some security holes
+that are still open in Debian unstable as of this writing. #378411 does not
+seem to affect our use, since the data is not encoded as utf-8 at that
+point. #378412 could affect us, although it doesn't seem very exploitable.
+It has a simple fix, which should be NMUed or something..
+
  ## other stuff to look at
  
  I need to audit the git backend a bit, and have been meaning to
author	joey <joey@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>
	Sun, 30 Jul 2006 06:08:56 +0000 (06:08 +0000)
committer	joey <joey@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>
	Sun, 30 Jul 2006 06:08:56 +0000 (06:08 +0000)