Update NEWS.

author Ralf Wildenhues <Ralf.Wildenhues@gmx.de>

Sun, 6 Dec 2009 15:23:47 +0000 (16:23 +0100)

committer Ralf Wildenhues <Ralf.Wildenhues@gmx.de>

Sun, 6 Dec 2009 15:23:47 +0000 (16:23 +0100)
author Ralf Wildenhues <Ralf.Wildenhues@gmx.de>
Sun, 6 Dec 2009 15:23:47 +0000 (16:23 +0100)
committer Ralf Wildenhues <Ralf.Wildenhues@gmx.de>
Sun, 6 Dec 2009 15:23:47 +0000 (16:23 +0100)
diff --git a/ChangeLog b/ChangeLog

index ce2d912fe431bbd0ace2031e42233d5597246af8..defad733c80c694dc4d4988e9720a792c19cfd27 100644 (file)
--- a/ChangeLog
+++ b/ChangeLog
@@ -1,3 +1,7 @@
+2009-12-06  Ralf Wildenhues  <Ralf.Wildenhues@gmx.de>
+
+       * NEWS: Update.
+
  2009-12-05  Antonio Diaz Diaz  <ant_diaz@teleline.es>
  
         Replace unlzma, gunzip, bunzip2 with pack tool -d invocation.
diff --git a/NEWS b/NEWS

index cd427fbed590b986ad1fc794a75c26bd386207c9..7ce9efd57c9da12e046f42aa9de52eb7bff2afdb 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -2,6 +2,8 @@ New in 1.11.0a:
  
  Bugs fixed in 1.11.0a:
  
+  - Lots of minor bugfixes.
+
  * Bugs introduced by 1.11:
  
    - The `parallel-tests' test driver works around a GNU make 3.80 bug with
@@ -21,6 +23,11 @@ Bugs fixed in 1.11.0a:
    - AM_PROG_GCJ uses AC_CHECK_TOOLS to look for `gcj' now, so that prefixed
      tools are preferred in a cross-compile setup.
  
+  - The distribution is tarred up with mode 755 now by the `dist*' targets.
+    This fixes a race condition where untrusted users could modify files
+    in the $(PACKAGE)-$(VERSION) distdir before packing if the toplevel
+    build directory was world-searchable.  This is CVE-2009-4029.
+
  \f
  New in 1.11:
author	Ralf Wildenhues <Ralf.Wildenhues@gmx.de>
	Sun, 6 Dec 2009 15:23:47 +0000 (16:23 +0100)
committer	Ralf Wildenhues <Ralf.Wildenhues@gmx.de>
	Sun, 6 Dec 2009 15:23:47 +0000 (16:23 +0100)
ChangeLog		patch \| blob \| blame \| history
NEWS		patch \| blob \| blame \| history