Merge commit '0.11.1'
authorDavid Bremner <bremner@debian.org>
Sat, 4 Feb 2012 17:01:46 +0000 (12:01 -0500)
committerDavid Bremner <bremner@debian.org>
Sat, 4 Feb 2012 17:01:46 +0000 (12:01 -0500)
Conflicts:
NEWS
bindings/python/notmuch/database.py
bindings/python/notmuch/message.py
notmuch.1

NEWS merged by hand, others taken from master.

NEWS
bindings/python/notmuch/version.py
debian/changelog
emacs/notmuch-mua.el
test/emacs
version

diff --git a/NEWS b/NEWS
index 2acdce56b51bd76dedf71af1da38b78b9640bc4a..5c5b6458262bcdd7692b2253c5663d2183f227b8 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -56,6 +56,30 @@ Compatibility with GMime 2.6
   However, a bug in current GMime 2.6 causes notmuch not to report
   signatures where the signer key is unavailable (GNOME bug 668085).
 
+Notmuch 0.11.1 (2012-02-03)
+===========================
+
+Bug-fix release.
+----------------
+
+Fix error handling in python bindings.
+
+  The python bindings in 0.11 failed to detect NULL pointers being
+  returned from libnotmuch functions and thus failed to raise
+  exceptions to indicate the error condition. Any subsequent calls
+  into libnotmuch caused segmentation faults.
+
+Quote MML tags in replies
+
+  MML tags are text codes that Emacs uses to indicate attachments
+  (among other things) in messages being composed.  The Emacs
+  interface did not quote MML tags in the quoted text of a reply.
+  User could be tricked into replying to a maliciously formatted
+  message and not editing out the MML tags from the quoted text.  This
+  could lead to files from the user's machine being attached to the
+  outgoing message.  The Emacs interface now quotes these tags in
+  reply text, so that they do not effect outgoing messages.
+
 Notmuch 0.11 (2012-01-13)
 =========================
 
index 59c396fe5483a291b992089a61299c6c8d931509..ed40e7f83635532cb9238661409484c128ffe8a5 100644 (file)
@@ -1,2 +1,2 @@
 # this file should be kept in sync with ../../../version
-__VERSION__ = '0.11'
+__VERSION__ = '0.11.1'
index 26fff874b1d22a4d89febc558e57bb7f3be56ceb..fad531adda25b87b9f8138117ef3a1a101227f93 100644 (file)
@@ -1,3 +1,11 @@
+notmuch (0.11.1-1) unstable; urgency=low
+
+  * Upstream bugfix release
+    - Fix error handling bug in python bindings
+    - Fix vulnerability in emacs reply handling
+
+ -- David Bremner <bremner@debian.org>  Fri, 03 Feb 2012 08:35:41 -0400
+
 notmuch (0.11-1) unstable; urgency=low
 
   * New upstream release.
index 023645e33edf1211e9f34a6fd883bb8d23caa6c6..c07b67ba3d389d8b44fbc3b248959baa0107b810 100644 (file)
@@ -116,7 +116,12 @@ list."
     (push-mark))
   (set-buffer-modified-p nil)
 
-  (message-goto-body))
+  (message-goto-body)
+  ;; Original message may contain (malicious) MML tags.  We must
+  ;; properly quote them in the reply.  Note that using `point-max'
+  ;; instead of `mark' here is wrong.  The buffer may include user's
+  ;; signature which should not be MML-quoted.
+  (mml-quote-region (point) (point-max)))
 
 (defun notmuch-mua-forward-message ()
   (message-forward)
index 8ca4c8a580507d3cfe968871a09e5f028e79c0db..f4a5c816f5b273ae873a896fdfda10cd491049ce 100755 (executable)
@@ -273,6 +273,26 @@ On 01 Jan 2000 12:00:00 -0000, Notmuch Test Suite <test_suite@notmuchmail.org> w
 EOF
 test_expect_equal_file OUTPUT EXPECTED
 
+test_begin_subtest "Quote MML tags in reply"
+message_id='test-emacs-mml-quoting@message.id'
+add_message [id]="$message_id" \
+           "[subject]='$test_subtest_name'" \
+           '[body]="<#part disposition=inline>"'
+test_emacs "(notmuch-show \"id:$message_id\")
+             (notmuch-show-reply)
+             (test-output)"
+cat <<EOF >EXPECTED
+From: Notmuch Test Suite <test_suite@notmuchmail.org>
+To: 
+Subject: Re: Quote MML tags in reply
+In-Reply-To: <test-emacs-mml-quoting@message.id>
+Fcc: ${MAIL_DIR}/sent
+--text follows this line--
+On Tue, 05 Jan 2001 15:43:57 -0000, Notmuch Test Suite <test_suite@notmuchmail.org> wrote:
+> <#!part disposition=inline>
+EOF
+test_expect_equal_file OUTPUT EXPECTED
+
 test_begin_subtest "Save attachment from within emacs using notmuch-show-save-attachments"
 # save as archive to test that Emacs does not re-compress .gz
 test_emacs '(let ((standard-input "\"attachment1.gz\""))
diff --git a/version b/version
index 51176c7c891c45403eab9e0cf753cbab19dc2442..af88ba824866fdf61bd6e3c8f83203f5d93d062b 100644 (file)
--- a/version
+++ b/version
@@ -1 +1 @@
-0.11
+0.11.1