Git 2.13.7
authorJunio C Hamano <gitster@pobox.com>
Tue, 22 May 2018 04:50:36 +0000 (13:50 +0900)
committerJunio C Hamano <gitster@pobox.com>
Tue, 22 May 2018 04:50:36 +0000 (13:50 +0900)
Signed-off-by: Junio C Hamano <gitster@pobox.com>
Documentation/RelNotes/2.13.7.txt [new file with mode: 0644]
GIT-VERSION-GEN
RelNotes
diff --git a/Documentation/RelNotes/2.13.7.txt b/Documentation/RelNotes/2.13.7.txt
new file mode 100644 (file)
index 0000000..09fc014
--- /dev/null
@@ -0,0 +1,20 @@
+Git v2.13.7 Release Notes
+=========================
+
+Fixes since v2.13.6
+-------------------
+
+ * Submodule "names" come from the untrusted .gitmodules file, but we
+   blindly append them to $GIT_DIR/modules to create our on-disk repo
+   paths. This means you can do bad things by putting "../" into the
+   name. We now enforce some rules for submodule names which will cause
+   Git to ignore these malicious names (CVE-2018-11235).
+
+   Credit for finding this vulnerability and the proof of concept from
+   which the test script was adapted goes to Etienne Stalmans.
+
+ * It was possible to trick the code that sanity-checks paths on NTFS
+   into reading random piece of memory (CVE-2018-11233).
+
+Credit for fixing for these bugs goes to Jeff King, Johannes
+Schindelin and others.
index 3db6830bed727b2bbdb00884513fcedc367eaba8..1534654ffc1a4c4a87e3a1b0b47abc4ea23e6da0 100755 (executable)
@@ -1,7 +1,7 @@
 #!/bin/sh
 
 GVF=GIT-VERSION-FILE
-DEF_VER=v2.13.6
+DEF_VER=v2.13.7
 
 LF='
 '
index c2dd9dd6ad6b85f458e8a7372b5eac9a1fc68a25..a7f9eca98179f1d37400f0272b6672b1a221f63a 120000 (symlink)
--- a/RelNotes
+++ b/RelNotes
@@ -1 +1 @@
-Documentation/RelNotes/2.13.6.txt
\ No newline at end of file
+Documentation/RelNotes/2.13.7.txt
\ No newline at end of file