News about path traversal prevention

diff --git a/doc/news.ru.texi b/doc/news.ru.texi
index 37fae65b0b5bbe503c849cf055b825a471e512c9..140104c49a685533504450f73520fdd64dbf919d 100644 (file)
--- a/doc/news.ru.texi
+++ b/doc/news.ru.texi
@@ -9,6 +9,11 @@
 Объединить все исполняемые файлы в одну @command{nncp} команду.
 Вам стоит добавить символические ссылки всех @command{nncp-*} команд на неё.
 
+@item
+Предотвратить возможно обхода путей во время операций freq и сохранения
+файлов. До этого злонамеренный путь в пакетах мог запросить или
+перезаписать файл вне freq или incoming директорий.
+
 @end itemize
 
 @node Релиз 8.11.0

diff --git a/doc/news.texi b/doc/news.texi
index 2abbb377e5456d43d8e008bd0d92bd07d3985d93..6cf8fe19ce0dd65e0022d42443c7c4f264de1351 100644 (file)
--- a/doc/news.texi
+++ b/doc/news.texi
@@ -12,6 +12,11 @@ See also this page @ref{Новости, in russian}.
 Combine all executables in single @command{nncp}.
 You should symlink all @command{nncp-*} commands to it.
 
+@item
+Prevent path traversal during freqing and file saving. Previously
+malicious paths in packets may request or overwrite file outside
+freq or incoming directories.
+
 @end itemize
 
 @node Release 8_11_0

diff --git a/doc/thanks.texi b/doc/thanks.texi
index b682d92e793ed4ca2b2d156adbd0216ebaa30cb6..48a790131aa2658c32c32bfe5b7cfb0e50b91109 100644 (file)
--- a/doc/thanks.texi
+++ b/doc/thanks.texi
@@ -16,4 +16,7 @@ feedback and NixOS package maintenance.
 suggestions, bugreports, Debian package and mirror maintenance, and the
 whole project popularization.
 
+@item Eugene Medvedev for finding a serious patch traversal issue,
+allowing malicious packet to bypass freq/incoming directories boundaries.
+
 @end itemize