Merge tag 'v2.33.0' into debian-sid
[git/debian.git] / Documentation / RelNotes / 2.14.5.txt
blob130645fb292a142b74fdac9b5ef726be0a6af668
1 Git v2.14.5 Release Notes
2 =========================
4 This release is to address the recently reported CVE-2018-17456.
6 Fixes since v2.14.4
7 -------------------
9  * Submodules' "URL"s come from the untrusted .gitmodules file, but
10    we blindly gave it to "git clone" to clone submodules when "git
11    clone --recurse-submodules" was used to clone a project that has
12    such a submodule.  The code has been hardened to reject such
13    malformed URLs (e.g. one that begins with a dash).
15 Credit for finding and fixing this vulnerability goes to joernchen
16 and Jeff King, respectively.