From: David Lawrence <dkl@mozilla.com>
Date: Mon, 11 May 2020 17:32:53 +0000 (-0400)
Subject: Bug 1635332 - [SECURITY] Upgrade Mojolicous to 8.42
X-Git-Url: http://git.ipfire.org/cgi-bin/gitweb.cgi?a=commitdiff_plain;h=6c7bc338442ba3acc2082de98568061a3d37d33d;p=thirdparty%2Fbugzilla.git

Bug 1635332 - [SECURITY] Upgrade Mojolicous to 8.42
---

diff --git a/Bugzilla/App.pm b/Bugzilla/App.pm
index 5699f6203..1e3e34108 100644
--- a/Bugzilla/App.pm
+++ b/Bugzilla/App.pm
@@ -32,7 +32,7 @@ use Mojo::Loader qw( find_modules );
 use Module::Runtime qw( require_module );
 use Bugzilla::Util ();
 use Cwd qw(realpath);
-use MojoX::Log::Log4perl::Tiny;
+use MojoX::Log::Log4perl;
 use Bugzilla::WebService::Server::REST;
 use Try::Tiny;
 
@@ -40,6 +40,7 @@ has 'static' => sub { Bugzilla::App::Static->new };
 
 sub startup {
   my ($self) = @_;
+  $self->log(MojoX::Log::Log4perl->new);
 
   TRACE('Starting up');
   $self->plugin('Bugzilla::App::Plugin::BlockIP');
diff --git a/Bugzilla/App/Plugin/Glue.pm b/Bugzilla/App/Plugin/Glue.pm
index 2c80507c2..dbaee4b43 100644
--- a/Bugzilla/App/Plugin/Glue.pm
+++ b/Bugzilla/App/Plugin/Glue.pm
@@ -210,9 +210,6 @@ sub register {
       return Mojo::ByteStream->new($buffer);
     }
   );
-
-  $app->log(MojoX::Log::Log4perl::Tiny->new(
-    logger => Log::Log4perl->get_logger(ref $app)));
 }
 
 1;
diff --git a/Bugzilla/App/Plugin/OAuth2.pm b/Bugzilla/App/Plugin/OAuth2.pm
index ab1fdf1e1..5e51f85b9 100644
--- a/Bugzilla/App/Plugin/OAuth2.pm
+++ b/Bugzilla/App/Plugin/OAuth2.pm
@@ -82,6 +82,8 @@ sub _resource_owner_confirm_scopes {
   my ($c, $client_id, $scopes_ref)
     = @args{qw/ mojo_controller client_id scopes /};
 
+  $c->bugzilla->login(LOGIN_REQUIRED) || return undef;
+
   my $is_allowed = $c->param("oauth_confirm_${client_id}");
 
   # if user hasn't yet allowed the client access, or if they denied
diff --git a/Dockerfile b/Dockerfile
index c4fbaa8d4..653c48fe5 100644
--- a/Dockerfile
+++ b/Dockerfile
@@ -1,4 +1,4 @@
-FROM mozillabteam/bmo-perl-slim:20200504.1
+FROM mozillabteam/bmo-perl-slim:20200505.1
 
 ENV DEBIAN_FRONTEND noninteractive
 
diff --git a/Makefile.PL b/Makefile.PL
index e7174f56b..8cadfe6a5 100755
--- a/Makefile.PL
+++ b/Makefile.PL
@@ -78,8 +78,8 @@ my %requires = (
   'Module::Metadata'                    => '1.000033',
   'Module::Runtime'                     => '0.014',
   'Mojo::JWT'                           => '0.07',
-  'MojoX::Log::Log4perl::Tiny'          => '0.01',
-  'Mojolicious'                         => '== 8.23',
+  'MojoX::Log::Log4perl'                => '0.04',
+  'Mojolicious'                         => '8.42',
   'Mojolicious::Plugin::OAuth2::Server' => '0.44',
   'Moo'                                 => '2.002004',
   'MooX::StrictConstructor'             => '0.008',
diff --git a/cpanfile b/cpanfile
index 7d8d12bfc..58dca6c0c 100644
--- a/cpanfile
+++ b/cpanfile
@@ -78,8 +78,8 @@ requires 'Math::Random::ISAAC', 'v1.0.1';
 requires 'Module::Metadata', '1.000033';
 requires 'Module::Runtime', '0.014';
 requires 'Mojo::JWT', '0.07';
-requires 'MojoX::Log::Log4perl::Tiny', '0.01';
-requires 'Mojolicious', '== 8.23';
+requires 'MojoX::Log::Log4perl', '0.04';
+requires 'Mojolicious', '8.42';
 requires 'Mojolicious::Plugin::ForwardedFor';
 requires 'Mojolicious::Plugin::OAuth2::Server', '0.44';
 requires 'Moo', '2.002004';
diff --git a/cpanfile.snapshot b/cpanfile.snapshot
index e80224cb2..308270450 100644
--- a/cpanfile.snapshot
+++ b/cpanfile.snapshot
@@ -23,83 +23,83 @@ DISTRIBUTIONS
       Algorithm::Diff::_impl 1.1903
     requirements:
       ExtUtils::MakeMaker 0
-  Alien-Build-2.21
-    pathname: P/PL/PLICEASE/Alien-Build-2.21.tar.gz
-    provides:
-      Alien::Base 2.21
-      Alien::Base::PkgConfig 2.21
-      Alien::Base::Wrapper 2.21
-      Alien::Build 2.21
-      Alien::Build::CommandSequence 2.21
-      Alien::Build::Helper 2.21
-      Alien::Build::Interpolate 2.21
-      Alien::Build::Interpolate::Default 2.21
-      Alien::Build::Interpolate::Helper 2.21
-      Alien::Build::Log 2.21
-      Alien::Build::Log::Abbreviate 2.21
-      Alien::Build::Log::Default 2.21
-      Alien::Build::MM 2.21
-      Alien::Build::Meta 2.21
-      Alien::Build::Plugin 2.21
-      Alien::Build::Plugin::Build::Autoconf 2.21
-      Alien::Build::Plugin::Build::CMake 2.21
-      Alien::Build::Plugin::Build::Copy 2.21
-      Alien::Build::Plugin::Build::MSYS 2.21
-      Alien::Build::Plugin::Build::Make 2.21
-      Alien::Build::Plugin::Build::SearchDep 2.21
-      Alien::Build::Plugin::Core::CleanInstall 2.21
-      Alien::Build::Plugin::Core::Download 2.21
-      Alien::Build::Plugin::Core::FFI 2.21
-      Alien::Build::Plugin::Core::Gather 2.21
-      Alien::Build::Plugin::Core::Legacy 2.21
-      Alien::Build::Plugin::Core::Override 2.21
-      Alien::Build::Plugin::Core::Setup 2.21
-      Alien::Build::Plugin::Core::Tail 2.21
-      Alien::Build::Plugin::Decode::DirListing 2.21
-      Alien::Build::Plugin::Decode::DirListingFtpcopy 2.21
-      Alien::Build::Plugin::Decode::HTML 2.21
-      Alien::Build::Plugin::Decode::Mojo 2.21
-      Alien::Build::Plugin::Download::Negotiate 2.21
-      Alien::Build::Plugin::Extract::ArchiveTar 2.21
-      Alien::Build::Plugin::Extract::ArchiveZip 2.21
-      Alien::Build::Plugin::Extract::CommandLine 2.21
-      Alien::Build::Plugin::Extract::Directory 2.21
-      Alien::Build::Plugin::Extract::Negotiate 2.21
-      Alien::Build::Plugin::Fetch::CurlCommand 2.21
-      Alien::Build::Plugin::Fetch::HTTPTiny 2.21
-      Alien::Build::Plugin::Fetch::LWP 2.21
-      Alien::Build::Plugin::Fetch::Local 2.21
-      Alien::Build::Plugin::Fetch::LocalDir 2.21
-      Alien::Build::Plugin::Fetch::NetFTP 2.21
-      Alien::Build::Plugin::Fetch::Wget 2.21
-      Alien::Build::Plugin::Gather::IsolateDynamic 2.21
-      Alien::Build::Plugin::PkgConfig::CommandLine 2.21
-      Alien::Build::Plugin::PkgConfig::LibPkgConf 2.21
-      Alien::Build::Plugin::PkgConfig::MakeStatic 2.21
-      Alien::Build::Plugin::PkgConfig::Negotiate 2.21
-      Alien::Build::Plugin::PkgConfig::PP 2.21
-      Alien::Build::Plugin::Prefer::BadVersion 2.21
-      Alien::Build::Plugin::Prefer::GoodVersion 2.21
-      Alien::Build::Plugin::Prefer::SortVersions 2.21
-      Alien::Build::Plugin::Probe::CBuilder 2.21
-      Alien::Build::Plugin::Probe::CommandLine 2.21
-      Alien::Build::Plugin::Probe::Vcpkg 2.21
-      Alien::Build::Plugin::Test::Mock 2.21
-      Alien::Build::PluginMeta 2.21
-      Alien::Build::Temp 2.21
-      Alien::Build::TempDir 2.21
-      Alien::Build::Util 2.21
-      Alien::Build::Version::Basic 2.21
-      Alien::Build::rc 2.21
-      Alien::Role 2.21
-      Test::Alien 2.21
-      Test::Alien::Build 2.21
-      Test::Alien::CanCompile 2.21
-      Test::Alien::CanPlatypus 2.21
-      Test::Alien::Diag 2.21
-      Test::Alien::Run 2.21
-      Test::Alien::Synthetic 2.21
-      alienfile 2.21
+  Alien-Build-2.22
+    pathname: P/PL/PLICEASE/Alien-Build-2.22.tar.gz
+    provides:
+      Alien::Base 2.22
+      Alien::Base::PkgConfig 2.22
+      Alien::Base::Wrapper 2.22
+      Alien::Build 2.22
+      Alien::Build::CommandSequence 2.22
+      Alien::Build::Helper 2.22
+      Alien::Build::Interpolate 2.22
+      Alien::Build::Interpolate::Default 2.22
+      Alien::Build::Interpolate::Helper 2.22
+      Alien::Build::Log 2.22
+      Alien::Build::Log::Abbreviate 2.22
+      Alien::Build::Log::Default 2.22
+      Alien::Build::MM 2.22
+      Alien::Build::Meta 2.22
+      Alien::Build::Plugin 2.22
+      Alien::Build::Plugin::Build::Autoconf 2.22
+      Alien::Build::Plugin::Build::CMake 2.22
+      Alien::Build::Plugin::Build::Copy 2.22
+      Alien::Build::Plugin::Build::MSYS 2.22
+      Alien::Build::Plugin::Build::Make 2.22
+      Alien::Build::Plugin::Build::SearchDep 2.22
+      Alien::Build::Plugin::Core::CleanInstall 2.22
+      Alien::Build::Plugin::Core::Download 2.22
+      Alien::Build::Plugin::Core::FFI 2.22
+      Alien::Build::Plugin::Core::Gather 2.22
+      Alien::Build::Plugin::Core::Legacy 2.22
+      Alien::Build::Plugin::Core::Override 2.22
+      Alien::Build::Plugin::Core::Setup 2.22
+      Alien::Build::Plugin::Core::Tail 2.22
+      Alien::Build::Plugin::Decode::DirListing 2.22
+      Alien::Build::Plugin::Decode::DirListingFtpcopy 2.22
+      Alien::Build::Plugin::Decode::HTML 2.22
+      Alien::Build::Plugin::Decode::Mojo 2.22
+      Alien::Build::Plugin::Download::Negotiate 2.22
+      Alien::Build::Plugin::Extract::ArchiveTar 2.22
+      Alien::Build::Plugin::Extract::ArchiveZip 2.22
+      Alien::Build::Plugin::Extract::CommandLine 2.22
+      Alien::Build::Plugin::Extract::Directory 2.22
+      Alien::Build::Plugin::Extract::Negotiate 2.22
+      Alien::Build::Plugin::Fetch::CurlCommand 2.22
+      Alien::Build::Plugin::Fetch::HTTPTiny 2.22
+      Alien::Build::Plugin::Fetch::LWP 2.22
+      Alien::Build::Plugin::Fetch::Local 2.22
+      Alien::Build::Plugin::Fetch::LocalDir 2.22
+      Alien::Build::Plugin::Fetch::NetFTP 2.22
+      Alien::Build::Plugin::Fetch::Wget 2.22
+      Alien::Build::Plugin::Gather::IsolateDynamic 2.22
+      Alien::Build::Plugin::PkgConfig::CommandLine 2.22
+      Alien::Build::Plugin::PkgConfig::LibPkgConf 2.22
+      Alien::Build::Plugin::PkgConfig::MakeStatic 2.22
+      Alien::Build::Plugin::PkgConfig::Negotiate 2.22
+      Alien::Build::Plugin::PkgConfig::PP 2.22
+      Alien::Build::Plugin::Prefer::BadVersion 2.22
+      Alien::Build::Plugin::Prefer::GoodVersion 2.22
+      Alien::Build::Plugin::Prefer::SortVersions 2.22
+      Alien::Build::Plugin::Probe::CBuilder 2.22
+      Alien::Build::Plugin::Probe::CommandLine 2.22
+      Alien::Build::Plugin::Probe::Vcpkg 2.22
+      Alien::Build::Plugin::Test::Mock 2.22
+      Alien::Build::PluginMeta 2.22
+      Alien::Build::Temp 2.22
+      Alien::Build::TempDir 2.22
+      Alien::Build::Util 2.22
+      Alien::Build::Version::Basic 2.22
+      Alien::Build::rc 2.22
+      Alien::Role 2.22
+      Test::Alien 2.22
+      Test::Alien::Build 2.22
+      Test::Alien::CanCompile 2.22
+      Test::Alien::CanPlatypus 2.22
+      Test::Alien::Diag 2.22
+      Test::Alien::Run 2.22
+      Test::Alien::Synthetic 2.22
+      alienfile 2.22
     requirements:
       Capture::Tiny 0.17
       ExtUtils::CBuilder 0
@@ -145,6 +145,7 @@ DISTRIBUTIONS
       Alien::Base 0.92
       Alien::Build 1.19
       Alien::Build::MM 0.32
+      Alien::Build::Plugin::Fetch::CurlCommand 1.19
       Capture::Tiny 0
       ExtUtils::MakeMaker 6.52
       File::Which 0
@@ -3473,44 +3474,45 @@ DISTRIBUTIONS
       perl 5.006
       strict 0
       warnings 0
-  IO-Async-0.75
-    pathname: P/PE/PEVANS/IO-Async-0.75.tar.gz
+  IO-Async-0.76
+    pathname: P/PE/PEVANS/IO-Async-0.76.tar.gz
     provides:
       Future::IO::Impl::IOAsync undef
-      IO::Async 0.75
-      IO::Async::Channel 0.75
-      IO::Async::Debug 0.75
-      IO::Async::File 0.75
-      IO::Async::FileStream 0.75
-      IO::Async::Function 0.75
-      IO::Async::Future 0.75
-      IO::Async::Handle 0.75
-      IO::Async::Internals::ChildManager 0.75
-      IO::Async::Listener 0.75
-      IO::Async::Loop 0.75
-      IO::Async::Loop::Poll 0.75
-      IO::Async::Loop::Select 0.75
-      IO::Async::LoopTests 0.75
-      IO::Async::Notifier 0.75
-      IO::Async::OS 0.75
-      IO::Async::OS::MSWin32 0.75
-      IO::Async::OS::cygwin 0.75
-      IO::Async::OS::linux 0.75
-      IO::Async::PID 0.75
-      IO::Async::Process 0.75
-      IO::Async::Protocol 0.75
-      IO::Async::Protocol::LineStream 0.75
-      IO::Async::Protocol::Stream 0.75
-      IO::Async::Resolver 0.75
-      IO::Async::Routine 0.75
-      IO::Async::Signal 0.75
-      IO::Async::Socket 0.75
-      IO::Async::Stream 0.75
-      IO::Async::Test 0.75
-      IO::Async::Timer 0.75
-      IO::Async::Timer::Absolute 0.75
-      IO::Async::Timer::Countdown 0.75
-      IO::Async::Timer::Periodic 0.75
+      IO::Async 0.76
+      IO::Async::Channel 0.76
+      IO::Async::Debug 0.76
+      IO::Async::File 0.76
+      IO::Async::FileStream 0.76
+      IO::Async::Function 0.76
+      IO::Async::Future 0.76
+      IO::Async::Handle 0.76
+      IO::Async::Internals::ChildManager 0.76
+      IO::Async::Listener 0.76
+      IO::Async::Loop 0.76
+      IO::Async::Loop::Poll 0.76
+      IO::Async::Loop::Select 0.76
+      IO::Async::LoopTests 0.76
+      IO::Async::Metrics undef
+      IO::Async::Notifier 0.76
+      IO::Async::OS 0.76
+      IO::Async::OS::MSWin32 0.76
+      IO::Async::OS::cygwin 0.76
+      IO::Async::OS::linux 0.76
+      IO::Async::PID 0.76
+      IO::Async::Process 0.76
+      IO::Async::Protocol 0.76
+      IO::Async::Protocol::LineStream 0.76
+      IO::Async::Protocol::Stream 0.76
+      IO::Async::Resolver 0.76
+      IO::Async::Routine 0.76
+      IO::Async::Signal 0.76
+      IO::Async::Socket 0.76
+      IO::Async::Stream 0.76
+      IO::Async::Test 0.76
+      IO::Async::Timer 0.76
+      IO::Async::Timer::Absolute 0.76
+      IO::Async::Timer::Countdown 0.76
+      IO::Async::Timer::Periodic 0.76
     requirements:
       Exporter 5.57
       File::stat 0
@@ -4347,17 +4349,18 @@ DISTRIBUTIONS
       Module::Build::Tiny 0
       Mojolicious 5.00
       perl 5.010
-  MojoX-Log-Log4perl-Tiny-0.01
-    pathname: Y/YO/YOWCOW/MojoX-Log-Log4perl-Tiny-0.01.tar.gz
+  MojoX-Log-Log4perl-0.12
+    pathname: G/GA/GARU/MojoX-Log-Log4perl-0.12.tar.gz
     provides:
-      MojoX::Log::Log4perl::Tiny 0.01
+      MojoX::Log::Log4perl 0.12
     requirements:
-      Log::Log4perl 0
-      Module::Build::Tiny 0.035
-      Mojolicious 0
-      perl 5.008001
-  Mojolicious-8.23
-    pathname: S/SR/SRI/Mojolicious-8.23.tar.gz
+      ExtUtils::MakeMaker 0
+      Log::Log4perl 1.25
+      Mojolicious 2
+      Test::More 0.94
+      perl 5.010001
+  Mojolicious-8.42
+    pathname: S/SR/SRI/Mojolicious-8.42.tar.gz
     provides:
       Mojo undef
       Mojo::Asset undef
@@ -4426,7 +4429,7 @@ DISTRIBUTIONS
       Mojo::UserAgent::Transactor undef
       Mojo::Util undef
       Mojo::WebSocket undef
-      Mojolicious 8.23
+      Mojolicious 8.42
       Mojolicious::Command undef
       Mojolicious::Command::Author::cpanify undef
       Mojolicious::Command::Author::generate undef