Bug 634826: .htaccess file permissions are not set by checksetup.pl
r/a=mkanat

Bump the version number post-release.

Bump version number for 4.0.

https://bugzilla.mozilla.org/show_bug.cgi?id=633902

Bug 634243: Stop confirm-match.html.tmpl from sending extra, empty values for
each field being confirmed. This fixes a bug where confirming would fail,
displaying a value with an extra comma at the end.
r=LpSolit, a=LpSolit

Remove the "unknown_keyword" error, which is no longer used.

https://bugzilla.mozilla.org/show_bug.cgi?id=490322

Bug 490322: Make "allwords" work with the keywords field, again.
r=glob, a=mkanat

Bug 480044: Use dashes instead of colons to separate bug IDs in the BUGLIST cookie, because colons are HTML-escaped, making the cookie bigger than the 4k limit
r=mkanat a=LpSolit

Remove tabs and fix some formatting in Bugzilla::DB::Pg.

https://bugzilla.mozilla.org/show_bug.cgi?id=616981

Bug 633055: Make Bug.legal_values explicitly throw an error if you pass "undef"
for the "field" parameter
r=dkl, a=mkanat

Bug 616981: Make whine.pl work with PostgreSQL 8.4+ by fixing sql_string_until
r=mkanat, a=mkanat

Bug 609538: Make the JSON-RPC interface support UTF-8 when a recent version
of LWP is installed
r=dkl, a=mkanat

Bug 603127: Make checksetup.pl require DBD::Pg 2.17.2 when using Pg 9.0 or
later.
r=dkl, a=mkanat

Bug 633422: Fix the documentation for User.get's include_disabled parameter
and make User.get check that its required parameters are passed.
r=LpSolit, a=mkanat

Bug 633298 - Please add a 'form' hook to attachment/create.html.tmpl and attachment/edit.html.tmpl
r/a=mkanat

Bug 606511 - Bug.search should allow use of include_fields and exclude_fields
r/a=mkanat

Fix a POD compilation error.

https://bugzilla.mozilla.org/show_bug.cgi?id=633041

Fix the POD of Bug.add_attachment to reflect that it now automatically
picks the content_type of text/plain when you set is_patch to true.

https://bugzilla.mozilla.org/show_bug.cgi?id=633041

Bug 633041: Add an error code for zero_length_file and fill in content_type
for patches when content_type is missing in Bug.add_attachment in the
WebService
r=LpSolit, a=LpSolit

Bug 630750: Don't let "." and "lib" get into @INC when running under
mod_perl
r=dkl, a=mkanat

Bug 461014 - How to create a private attachment in enter_bug.cgi not obvious
r=reed,a=LpSolit

https://bugzilla.mozilla.org/show_bug.cgi?id=507211

Bug 629007: Example in quicksearch priority shortcut is incorrect
r/a=mkanat

Bug 622679 - Autocomplete suggests inactive/disabled accounts as matches
r/a=mkanat

Allow extensions to alter quicksearch terms and search format. r=mkanat.

https://bugzilla.mozilla.org/show_bug.cgi?id=621878

Fix missing documentation. r=mkanat.

https://bugzilla.mozilla.org/show_bug.cgi?id=629321

Add diffs parameter to bugmail_recipients hook. r=mkanat.

https://bugzilla.mozilla.org/show_bug.cgi?id=616422

Bump the version number post-release.

Bump the version number for 4.0rc2.

Bug 619594: (CVE-2010-4568) [SECURITY] Improve the randomness of
generate_random_password, to protect against an account compromise issue
and other critical vulnerabilities.
r=LpSolit, a=LpSolit

https://bugzilla.mozilla.org/show_bug.cgi?id=621591

Bug 621105 - [SECURITY] Voting lacks CSRF protection
r=mkanat,a=LpSolit

Bug 619588: (CVE-2010-4567) [SECURITY] Safety checks that disallow clicking for javascript: or data: URLs in the URL field can be evaded with prefixed whitespace

and

Bug 628034: (CVE-2011-0048) [SECURITY] For not-logged-in users, the URL field doesn't safeguard against javascript: or data: URLs

r=dkl a=LpSolit

Bug 621572: (CVE-2010-4572) [SECURITY] chart.cgi vulnerable to header-injection due to use of |print "Location:"| instead of $cgi->redirect
[r=mkanat a=LpSolit]

Bug 619648: (CVE-2010-4570) [SECURITY] XSS via summary in "possible duplicates" table due to lack of encoding by YUI
[r=mkanat a=LpSolit]

Bug 619637: (CVE-2010-4569) [SECURITY] XSS in user autocomplete due to lack of encoding by YUI
[r=mkanat r=dkl a=LpSolit]

Bug 621110: [SECURITY] Quips (adding/approving/deleting) lacks CSRF protection
r=dkl a=LpSolit

Bug 621108: [SECURITY] Creating/editing charts lacks CSRF protection
r=dkl a=LpSolit

Bug 621107: [SECURITY] Sanity checking lacks CSRF protection
r=dkl a=LpSolit

Bug 621090: [SECURITY] Adding saved searches lacks CSRF protection
r=mkanat a=justdave

An optional module was accidentally listed in the "required" section of the
release notes.

https://bugzilla.mozilla.org/show_bug.cgi?id=627910

Bug 627910: Update Release Notes for Bugzilla 4.0rc2
r=reed

Bug 621128 - Remove trailing whitespace from '<div id="view_disabled" >'
[r=reed a=LpSolit]

Bug 621109: Column changing lacks CSRF protection
r=dkl a=mkanat

Bug 627854: Add 'form' hook to create-guided.html.tmpl similar to create.html.tmpl
r/a=mkanat

Bug 591165: (CVE-2010-4411) [SECURITY] Bump minimum required version of CGI.pm to v3.51 in order to address header injection vulnerability.
[r=mkanat a=mkanat]

Bug 627660 - Rename "Send" button on final create account page to "Create", as nothing is actually sent.
[r=mkanat a=mkanat]

Bug 626292 - "Make description private" checkbox should set bz_private class on the comment box
r/a=mkanat

Bug 623608 - Add intro/outro extension hooks to footer.html.tmpl
r/a=mkanat

Bug 625190: Typo and Missing FK in Bugzilla::DB::Schema
r/a=mkanat

Bug 618841: Bare word "bug" in release notes
r=dkl a=LpSolit

Bug 622204: Bugzilla::Migrate crashes trying to create bugs with resolutions
r/a=mkanat

Bug 255524: The duplicates table inherits no CSS classes when viewed in simple format
r=dkl a=LpSolit

Document how to add user settings. r,a=mkanat.

https://bugzilla.mozilla.org/show_bug.cgi?id=616427

Bug 622822 - add additional_links hook to front page. r,a=mkanat.

Bug 622437: Remove 'colchange_columns' hook from the Example extension
r/a=LpSolit

Bug 622105 - Misspelling in setting_info_invalid error message
r/a=LpSolit

Bug 621597: Make mod_perl.pl do the INC configuration itself, instead of
requiring it to be in httpd.conf.
r=dkl, a=mkanat

Bug 618844: Make clear that the Apache module must be enabled in release notes
r/a=mkanat

Bug 618842: Enclose checksetup.pl between <kbd> and </kbd> tags in templates
r/a=mkanat

Bug 599539: Update the mod_perl.pl code for Apache2::SizeLimit 0.93
r=glob, a=mkanat

Bug 615574: Make every search done by buglist.cgi create a list_id, so that
even Saved Searches get "last list" support.
r=LpSolit, a=LpSolit

Bug 603762: Vertical margins between header, footer, and content are not consistent
r=pyrzak a=mkanat

Bug 588013: Fix typo
r/a=mkanat

Bug 620796: Make Bugzilla::Migrate skip abnormal fields when doing
create_legal_values (otherwise it tried to create Components there, when
it should not have).
r=mkanat, a=mkanat (module owner)

Bug 475894 - Send the 'X-Frame-Options: SAMEORIGIN' header to help protect against clickjacking.
[r=mkanat a=mkanat]

Bug 313583: Relnote that long_list.cgi, showattachment.cgi and xml.cgi will be removed from Bugzilla 4.2.
They are all deprecated since Bugzilla 2.19.
r/a=mkanat

Bug 617477: Fix numerous consistency and behavior issues surrounding Bug.update
and Bugzilla::Bug. See https://bugzilla.mozilla.org/show_bug.cgi?id=617477#c2
for details.
r=LpSolit, a=LpSolit

Bug 618161: Make VERSION into a constant in two included extensions so that
calling $class->VERSION on them won't throw an error on Perl 5.12 when there
are non-numeric characters in BUGZILLA_VERSION.
r=LpSolit, a=LpSolit

Bug 610182: Support enabling UNCONFIRMED in all products when using
contrib/convert-workflow.pl
r=mkanat, a=mkanat

Bug 617684: Values starting with a dot or an underscore are no longer hidden in reports
r/a=mkanat

Bug 567953: Components which exist in several products are duplicated in tabular reports
r/a=LpSolit

Bug 617030 - Add an error code for json_rpc_invalid_callback, and fix the
regex used by _bz_callback in Bugzilla::WebService::Server::JSONRPC to
accept numbers other than 0 or 1.
r=LpSolit, a=mkanat

Bug 542931: Bug in SOAP::Lite prevents WebService:XMLRPC logins from persisting
r/a=mkanat

Bug 607138: Don't send the Strict-Transport-Security header for the
attachment_base.
r=LpSolit, a=LpSolit

Bug 607675: In Firefox, YAHOO.util.Event.addListener/on events no longer exist after a user clicks back
r:LpSolit, a:mkanat

Bug 416784: In PostgreSQL 8.1 and newer, createuser takes the argument -R instead of -A
r=manu a=LpSolit

Bug 386600: Implement auto-completion for the requestee field
r/a=LpSolit

Bug 611891: Don't generate cookies for logins done over GET via the WebService
r=glob, a=mkanat

Bug 610217: config.cgi?ctype=rdf should include product.allows_unconfirmed
r/a=mkanat

Bug 611974: collectstats.pl --regenerate fails with PostgreSQL 8.4.x (sql_from_days() doesn't accept integers as argument)
r/a=LpSolit

Bug 611979: Undefined subroutine &Bugzilla::Config::Advanced::check_multi when enabling strict_transport_security
r=glob a=LpSolit

Bug 611623: The alias is not filtered in QuickSearch when passed to show_bug.cgi
r=glob a=LpSolit

Bug 591165: (CVE-2010-2761) [SECURITY] Bump minimum required version of CGI.pm to v3.50 in order to address header injection vulnerability.
[r=mkanat a=mkanat]

Bug 591535: "Give me some help" link's iframe behavior is no longer necessary
r=LpSolit r=mkanat a=mkanat

Bug 596611: Add a hook to email_in.pl
r/a=mkanat

Bug 485418: Code and template hooks for userprefs.cgi to be able to add additional tabs
r=mkanat a=LpSolit

Bug 605573: List all available WebService methods at the top of the POD
r/a=mkanat

Bug 474766: The [details] string is duplicated when replying to a comment containing a link to an attachment
r/a=mkanat

Bump the version number post-release.

Bump version number for 4.0rc1.

https://bugzilla.mozilla.org/show_bug.cgi?id=604255

Bug 600464: (CVE-2010-3172) [SECURITY] Content/Header injection due to non-random multipart/x-mixed-replace boundary
r=mkanat a=LpSolit

Bug 419014: (CVE-2010-3764) [SECURITY] Old charts are not project specific, and product names are viewable in graphs/
r=wurblzap a=LpSolit

Bug 607581: URLs in the See Also field are not linkified when the user is logged out
r=pyrzak a=LpSolit

Bug 608375: The calendar widget is not available in the Time Summary page
r=wicked a=mkanat

Bug 606618: Update YUI to 2.8.2
r=LpSolit, a=mkanat

Bug 607323: Be clearer in the release notes that a new Apache configuration
is required
r=LpSolit, a=mkanat

Bug 607966: Use of qw(...) as parentheses is deprecated since Perl 5.13.5
r=gerv a=LpSolit

Bug 585802: Change the cc/user autocomplete (and backend) usermatching to ignore spaces / search on space separated names
r/a=mkanat

Bug 607716: The attachment content is pasted into a comment when editing an attachment with JS disabled
r=LpSolit r=mkanat a=LpSolit

Bug 602458: Add is_mandatory to Bug.fields output
r=timello, a=mkanat

Bug 581933: Make YUI user autocomplete work with non-ASCII characters
r=Wurblzap, a=LpSolit

The browser-side comment-wrapping patch didn't actually make 4.0, so remove
it from the release notes.