From: Sergey Matveev <stargrave@stargrave.org>
Date: Fri, 19 Sep 2025 13:26:41 +0000 (+0300)
Subject: News about path traversal prevention
X-Git-Tag: v8.12.0^2
X-Git-Url: http://www.git.cypherpunks.su/?a=commitdiff_plain;h=0f18a1fae5797941d223bd18af27e842db56673b;p=nncp.git

News about path traversal prevention
---

diff --git a/doc/news.ru.texi b/doc/news.ru.texi
index 37fae65..140104c 100644
--- a/doc/news.ru.texi
+++ b/doc/news.ru.texi
@@ -9,6 +9,11 @@
 Объединить все исполняемые файлы в одну @command{nncp} команду.
 Вам стоит добавить символические ссылки всех @command{nncp-*} команд на неё.
 
+@item
+Предотвратить возможно обхода путей во время операций freq и сохранения
+файлов. До этого злонамеренный путь в пакетах мог запросить или
+перезаписать файл вне freq или incoming директорий.
+
 @end itemize
 
 @node Релиз 8.11.0
diff --git a/doc/news.texi b/doc/news.texi
index 2abbb37..6cf8fe1 100644
--- a/doc/news.texi
+++ b/doc/news.texi
@@ -12,6 +12,11 @@ See also this page @ref{Новости, in russian}.
 Combine all executables in single @command{nncp}.
 You should symlink all @command{nncp-*} commands to it.
 
+@item
+Prevent path traversal during freqing and file saving. Previously
+malicious paths in packets may request or overwrite file outside
+freq or incoming directories.
+
 @end itemize
 
 @node Release 8_11_0
diff --git a/doc/thanks.texi b/doc/thanks.texi
index b682d92..48a7901 100644
--- a/doc/thanks.texi
+++ b/doc/thanks.texi
@@ -16,4 +16,7 @@ feedback and NixOS package maintenance.
 suggestions, bugreports, Debian package and mirror maintenance, and the
 whole project popularization.
 
+@item Eugene Medvedev for finding a serious patch traversal issue,
+allowing malicious packet to bypass freq/incoming directories boundaries.
+
 @end itemize