RelNotes: mention safe.directory

author Junio C Hamano <gitster@pobox.com>

Wed, 13 Apr 2022 23:51:41 +0000 (16:51 -0700)

committer Junio C Hamano <gitster@pobox.com>

Wed, 13 Apr 2022 23:51:41 +0000 (16:51 -0700)
author Junio C Hamano <gitster@pobox.com>
Wed, 13 Apr 2022 23:51:41 +0000 (16:51 -0700)
committer Junio C Hamano <gitster@pobox.com>
Wed, 13 Apr 2022 23:51:41 +0000 (16:51 -0700)
diff --git a/Documentation/RelNotes/2.36.0.txt b/Documentation/RelNotes/2.36.0.txt

index 9f6dd3d86845d9a6355b703c994b575395fa4767..f4c5e691bb21db8138c5d08a532d5d2af4414aca 100644 (file)
--- a/Documentation/RelNotes/2.36.0.txt
+++ b/Documentation/RelNotes/2.36.0.txt
@@ -13,6 +13,15 @@ Backward compatibility warts
     top-level a partial clone, while submodules are fully cloned.  This
     behaviour is changed to pass the same filter down to the submodules.
  
+ * With the fixes for CVE-2022-24765 that are common with versions of
+   Git 2.30.4, 2.31.3, 2.32.2, 2.33.3, 2.34.3, and 2.35.3, Git has
+   been taught not to recognise repositories owned by other users, in
+   order to avoid getting affected by their config files and hooks.
+   You can list the path to the safe/trusted repositories that may be
+   owned by others on a multi-valued configuration variable
+   `safe.directory` to override this behaviour, or use '*' to declare
+   that you trust anything.
+
  
  Note to those who build from the source
  
@@ -397,8 +406,6 @@ Fixes since v2.35
     entry it moved.
     (merge b7f9130a06 vd/mv-refresh-stat later to maint).
  
- * Fix for CVE-2022-24765 has been merged up from 2.35.2 and others.
-
   * Other code cleanup, docfix, build fix, etc.
     (merge cfc5cf428b jc/find-header later to maint).
     (merge 40e7cfdd46 jh/p4-fix-use-of-process-error-exception later to maint).
author	Junio C Hamano <gitster@pobox.com>
	Wed, 13 Apr 2022 23:51:41 +0000 (16:51 -0700)
committer	Junio C Hamano <gitster@pobox.com>
	Wed, 13 Apr 2022 23:51:41 +0000 (16:51 -0700)