Mention the security fix more prominently.
authorWayne Davison <wayned@samba.org>
Mon, 21 Dec 2015 23:14:40 +0000 (15:14 -0800)
committerWayne Davison <wayned@samba.org>
Mon, 21 Dec 2015 23:14:40 +0000 (15:14 -0800)
index.html
security.html

index 72e1c4d..014046f 100644 (file)
@@ -19,9 +19,10 @@ License</A> and is currently being maintained by
 <a href="http://opencoder.net/">Wayne Davison</a>.
 
 <p><i>If you are running
-(1) an xattr-enabled rsync older than 3.0.2,
-(2) a writable rsync daemon older than 3.0.0,
-or (3) a version of rsync older than 2.6.6, please see the
+(1) an rsync client older than 3.1.2 to an not-fully-trusted sender,
+(2) an xattr-enabled rsync older than 3.0.2,
+(3) a writable rsync daemon older than 3.0.0,
+or (4) a version of rsync older than 2.6.6, please see the
 <a href="security.html" class=security>rsync security advisory page</a>.</i>
 
 <!--
@@ -44,6 +45,8 @@ on grabbing the development version.
 <i class=date>December 21st, 2015</i>
 
 <p>Rsync version 3.1.2 has been released.  This is a bug-fix release.
+It includes a <a href="security.html#s3_1_2" class=security>security fix</a>
+for a transfer from a sender that you don't fully trust.
 
 <p>See the <a href="https://download.samba.org/pub/rsync/src/rsync-3.1.2-NEWS">release NEWS</a>
 for the details of what changed since 3.1.1.
index cc019e3..7d5a541 100644 (file)
@@ -12,6 +12,16 @@ h3 { margin-bottom: 0px; }
 
 <H2 align="center">Rsync Security Advisories</H2>
 
+<p><a name="s3_1_2"></a><hr>
+<h3>File-list validation in 3.1.2</h3>
+<i class=date>December 21st, 2015</i>
+
+<p>If you're using a version of rsync older than 3.1.2 as a client and
+receiving files from an rsync server that you might not fully trust, this
+version adds extra checking to the file list to prevent the sender from
+tweaking the paths and/or the transfer requests in a way that could cause
+a file to be received outside the transfer destination.
+
 <p><a name="s3_0_2"></a><hr>
 <h3>Xattr security fix in 3.0.2</h3>
 <i class=date>April 8th, 2008</i>