WHATSNEW: Sync with v3-5-stable.

author Karolin Seeger <kseeger@samba.org>

Tue, 2 Aug 2011 19:19:36 +0000 (21:19 +0200)

committer Karolin Seeger <kseeger@samba.org>

Tue, 2 Aug 2011 19:19:36 +0000 (21:19 +0200)
author Karolin Seeger <kseeger@samba.org>
Tue, 2 Aug 2011 19:19:36 +0000 (21:19 +0200)
committer Karolin Seeger <kseeger@samba.org>
Tue, 2 Aug 2011 19:19:36 +0000 (21:19 +0200)
diff --git a/WHATSNEW.txt b/WHATSNEW.txt

index 94c9b0d8e8d406e2a1177766a385e9d594a5e8a8..aa6885e6225dd36dc8313a7f34c4a1ae3e8655db 100644 (file)
--- a/WHATSNEW.txt
+++ b/WHATSNEW.txt
@@ -43,49 +43,37 @@ Release notes for older releases follow:
  
                     ==============================
                     Release Notes for Samba 3.5.10
-                          July 12, 2011
+                          July 26, 2011
                     ==============================
  
  
-This is the latest stable release of Samba 3.5.
-
-Major enhancements in Samba 3.5.10 include:
-
-o  Fix access to Samba shares when Windows security patch KB2536276 is installed
-   (bug #7460).
-o  Fix DoS in Winbind and smbd with many file descriptors open (bug #7949).
-o  Fix Winbind panics if verify_idpool() fails (bug #8253).
-
-
-Changes since 3.5.9:
---------------------
-
-o   Jeremy Allison <jra@samba.org>
-    * BUG 8254: Make "acl check permissions = no" working in all cases.
+This is a security release in order to address
+CVE-2011-2522 (Cross-Site Request Forgery in SWAT) and
+CVE-2011-2694 (Cross-Site Scripting vulnerability in SWAT).
  
  
-o   Gregor Beck <gbeck@sernet.de>
-    * BUG 8253: Fix Winbind panics if verify_idpool() fails.
+o  CVE-2011-2522:
+   The Samba Web Administration Tool (SWAT) in Samba versions
+   3.0.x to 3.5.9 are affected by a cross-site request forgery.
  
  
-o   David Disseldorp <ddiss@suse.de>
-    * BUG 8269: Stop spamming log with "Could not find child X -- ignoring"
-      messages in smbd.
-
+o  CVE-2011-2694:
+   The Samba Web Administration Tool (SWAT) in Samba versions
+   3.0.x to 3.5.9 are affected by a cross-site scripting
+   vulnerability.
  
-o   Björn Jacke <bj@sernet.de>
-    * BUG 7460: Include sys/file.h only when available.
+Please note that SWAT must be enabled in order for these
+vulnerabilities to be exploitable. By default, SWAT
+is *not* enabled on a Samba install.
  
  
-o   Volker Lendecke <vl@samba.org>
-    * BUG 7841: Explicitly pass domain_sid to wbint_LookupRids().
-    * BUG 8238: Fix access to Samba shares when Windows security patch
-      KB2536276 is installed.
+Changes since 3.5.9:
+--------------------
  
  
-o   Stefan Metzmacher <metze@samba.org>
-    * BUG 7949: Fix DoS in Winbind and smbd with many file descriptors open.
-    * BUG 8276: Close all sockets attached to a subnet in close_subnet().
+o   Kai Blin <kai@samba.org>
+    * BUG 8289: SWAT contains a cross-site scripting vulnerability.
+    * BUG 8290: CSRF vulnerability in SWAT.
  
  
  ######################################################################
author	Karolin Seeger <kseeger@samba.org>
	Tue, 2 Aug 2011 19:19:36 +0000 (21:19 +0200)
committer	Karolin Seeger <kseeger@samba.org>
	Tue, 2 Aug 2011 19:19:36 +0000 (21:19 +0200)