update changelog
authorgregor herrmann <gregoa@debian.org>
Tue, 17 Jun 2014 17:37:29 +0000 (19:37 +0200)
committergregor herrmann <gregoa@debian.org>
Tue, 17 Jun 2014 17:37:29 +0000 (19:37 +0200)
Git-Dch: Ignore

debian/changelog

index 9687c7d64caead5901f24a58f4291d435de5008f..a60a183849893ff1f0ae05acf6196676ed6f1aa6 100644 (file)
@@ -1,3 +1,20 @@
+iodine (0.6.0~rc1-19) UNRELEASED; urgency=medium
+
+  * Add patch 0001-Fix-authentication-bypass-bug.patch from upstream's
+    iodine-0.6.0 branch.
+    
+    This fixes a security problem where the client could bypass the password
+    check by continuing after getting an error from the server and guessing
+    the network parameters and the server would still accept the rest of the
+    setup and also network traffic. The patch adds checks for normal and raw
+    mode that user has authenticated before allowing any other communication.
+    
+    Thanks to Salvatore Bonaccorso for the bug report, and Erik Ekman for
+    backporting the fix super fast.
+    (Closes: #751834)
+
+ -- gregor herrmann <gregoa@debian.org>  Tue, 17 Jun 2014 19:36:36 +0200
+
 iodine (0.6.0~rc1-18) unstable; urgency=low
 
   * debian/control: use iproute2 in Suggests instead of the transitional