Update release notes and incremented version

Change-Id: I983b436b58fd753e3d3bb582a04492df1a9fe2df

(bug 39700) Fix for html injection

Change-Id: Ie24201726a7adafecff00321e688a9e406707dce

(bug 35839) Hidden block text leaking to admins

Change-Id: I729bd256054e78aa3fe15f08a21090e8cd7c9d3e

(bug 39184) LDAP password leakage

Change-Id: Ie41bed7ecf5390f8815128c227bae371880a6058

(bug 39180) Set x-frame-options='DENY' for api

By default, set the x-frame-options header for api result pages
to 'DENY'. This is to prevent an attacker from iframing an api
page that includes tokens and stealing them from a user, for example
with a fake captcha prompt.

The global $wgApiFrameOptions is used for the value, or can be set
to false to disable setting the header.

Change-Id: I498f874d7f6c180ec4f3abfc81f773c0fa0f421d

(bug 37587) Enforce language codes to be html safe

Fixes bug 37587 and many other issues which
might or might not have been reported yet.

Change-Id: I612b90931a0261990bcd294fdb12cfba930c8c2f

(bug 38333) Check global blocks on account create

Change-Id: I06a44a5b93e24ef2f9e4f17b8a3b2e2872bbe74e

Fix mixed script locale. Remove Hant.

Change-Id: I6900532d955b29bef8bbb7b9f31629d705899187

(bug 36938) Correctly escape uselang attribute to prevent xss

Fixes xss in uselang parameter by quoting attribute with double quotes
and adding htmlspecialchars escaping.

Change-Id: I009c40f869d6c0d82345c417839fc72210d2dbfd

Bump $wgVersion and add release-notes for 1.18.4

Change-Id: I587f70957e93d0947eb97d97cf1a25da40a6b8ef

(bug 29296) Expanded Blacklist for SVG Files

Expanded detection of scripts inside SVG Files. Catches known
hostile files with minimal false-positives.

Disallows SVG Files that include remote resources, to protect
reader's privacy.

Change-Id: I5ba75ad621cdb0355351c8a9a0f1dbea552c258f

Bump 1.18.3

Add a few bits to the RELEASE-NOTES

Change-Id: I8808d26253dd39cc104c9d98cc60f5ee6da358d6

(bug 35961) Hash comparison should always be strict.

If your salted password end up being completely numeric when
represented in hexadecimal (less than 1 password per 10 millions),
it is also possible to login by providing another password that only
matches the first 9 bytes (instead of the full 16 ones) if it turns out
to also be completely numeric with your assigned salt (which is completely unknown).
The odds of finding an equivalent password with such characteristics, over a double md5
with an unknown salt, are really low. Even if the attacker broke into the servers and
robbed the salts, making use of this property would require a preimage attack of a partial
md5 (2^18) with the output of another md5 hash, for which a full preimage would still be
needed. Breaking the hashes using conventional attacks would be easier, so this is not
a critical update.

Change-Id: I8d1153fb91ca6507bd1df91e9953561f74f12ef6

Fix gettoken loophole from https://gerrit.wikimedia.org/r/#change,4220

Reported and patch by Szymon Świerkosz/Beau

Change-Id: I3b5a001ad60e7e637b351331794cb275a7cf021a

tests: mark tests requiring a database connection

This is to unbreak `make databaseless`.

Change-Id: I84e25040c3a9f54a88603e36e60592172bdd9f5d

Bug 35671 - PHP Notice: Undefined index: gettoken in includes/api/ApiMain.php on line 598

Change-Id: I220dfcd964ceb4254b310140b916a7c63a3044ef

Copy .gitignore files from master

Change-Id: I3651790a782530a8ba20b840ae07e2d0da6f73d2

* (bug 35567) The whole password reminder e-mail is now sent in the same language

Change-Id: I2e2540a51c676979ab0a7deb13bed55c0fe4934e

Merge "Fix broken email confirmation expiration caused by MWCryptRand changes." into REL1_18

Fix RELEASE-NOTES: add missing heading about 1.18.1 and fix the level of some others

Change-Id: I86c40db9fe2e4f57090fcc34547a87d7c4a0d532

Merge "* (bug 35446) Using "{{nse:}}" with an invalid namespace name no longer throws a PHP warning" into REL1_18

* (bug 35446) Using "{{nse:}}" with an invalid namespace name no longer throws a PHP warning

Change-Id: I3b428aba860494e40fa61593a69c514aafc0f7e1

.gitreview for REL1_18 branch

Change-Id: I753bd88a5e76f901c4fa4315bf3ed664be4d4512

Fix broken email confirmation expiration caused by MWCryptRand changes.

Change-Id: I68ceef1afdd4a332255911494e1940db66aff4b9

Swap $bytes .= $iv; for $buffer .= $iv;

Add a few bits of documentation

Change-Id: I0997d6eaaa37f312633db4556752cb38d8b4a3b0

* (bug 34212) ApiBlock/ApiUnblock allow action to take place without a token parameter present

* (bug 35317) CSRF in Special:Upload
Revert r56793, which removed the CSRF check for Special:Upload for normal file
uploads. Cross-site posting of file uploads without user interaction has been
possible since at least as early as Chrome 8 (late 2010) and Firefox 6 (mid
2011).

Commonist has used api.php since version 0.4.0 (April 2010), and the API
already requires an edit token, so Commonist 0.4.0+ is not affected by this
change.

* (bug 34907) Fix for CSRF vulnerability due to mw.user.tokens. Patch by Roan
Kattouw and Tim Starling.
* Filter out private modules early in ResourceLoader::makeResponse() and just
pretend they weren't specified. This means these modules cannot be loaded
through load.php . This filtering must not happen in makeModuleResponse(),
because that would break inlining.
* Force inlining of private modules in OutputPage::makeResourceLoaderLink(),
disregarding $wgResourceLoaderInlinePrivateModules
* Remove $wgResourceLoaderInlinePrivateModules
* Remove special treatment of private modules ($private) in
ResourceLoader::makeResponse() and sendResponseHeaders(), because we're not
allowing private modules to be loaded through here any more
* Remove identity checks in ResourceLoaderUserOptionsModule and
ResourceLoaderUserCSSPrefsModule, they didn't make a lot of sense before but
they're certainly useless now.
* Factored out error comment construction in ResourceLoader.php and stripped
comment terminations from exception messages. I didn't find an XSS
vulnerability but it looked scary.

Change-Id: I0e632722a0d9f4fc6d6bb355a986f498017c815d

MFT r114354: MWCryptRand $method parameter removal

Backported the bug 22555 part of r114232 and cleaned up RELEASE-NOTES-1.18

Backport r114272, Reedy's fix for r114233 to REL1_17, REL1_18, and REL1_19.

Backport CryptRand from r110825 and r114233 to REL1_17, REL1_18, and REL1_19 so all our supported versions of MediaWiki support proper cryptographic random sources for our tokens.

Replace UploadFromStash/UploadStash with copy from trunk at r105822

Bug 35032 - UploadFromStash is broken in 1.18.1

Localisation updates from translatewiki.net
* Backport compatible translations to REL1_17.
* Backport compatible translations to REL1_18.
* Backport compatible translations to REL1_19.

Localisation updates. Backport compatible message updates and comments to REL1_18 and REL1_19.

MFT r112502

* (bug 34246) Display MediaWiki:Whatlinkshere-summary again in Special:Whatlinkshere

* (bug 34528) Don't parse section name in edit section tooltips

Note about fixing mail sent to exchange server

That is bug 33087, fixed by r99950 and backported in 1.18 with r107920.

UserMailer could potentially throw a fatal error when a MailAddress
object had an empty email address.

The CodeReview extension is hitting that issue somehow (see bug 34158)

MFT r109693 add entry to RELEASE-NOTES-1.18

Revert r109196, code style fixes backported with no rationale

MFT r102851, r102861

MFT to REL1_18 r98222

(bug 33686) could not get a list of contributor for an article when using
a SQLite database.

* (bug 33117) prop=revisions allows deleted text to be exposed through cache pollution

Bump 1.18.1

Add RELEASE-NOTES-1.18 from r108234 that were wrongly added to 1.17, not 1.18

Localisation updates from translatewiki.net
* Backport compatible translations to REL1_18.

Merge r108145, moved RELEASE-NOTES to 1.18

Revert r94131 out of 1.18 from r108620

MFT r92703, r94131

Move RELEASE-NOTES to 1.18

Partial revert of r108432. Meant to merge this into 1.18wmf1 (done in r108457).

Follow-up r108432: Remove leading space in line 1. Spotted by Niklas.

Backport compatible updates from trunk.

Among others: MFT r107067, r108415, r108418

Improve RELEASE-NOTES-1.18 for r108045

* (bug 29102) Upgrade fails "Unknown character set: 'mysql4'.

"Merges" r108044

Do r107998 to REL1_18

"Merge" r107978

MFT r105341, r105853, r105897

Merge r106992, manually merge r107119

Manually merge r105322

Per request of Reedy, MFT r99942 and r99950

MFT r105007

MFT r105010, r104671, r104576, r102137

Fix 107907, wgAllowSchemaUpdates stufffs

MFT r100348, r100640, r101656, r101867, r101869m r104030

Copy in getLanguage to prevent any silly fatals that might end up occurring

MFT r96774

MFT r99062

MFT r93789

MFT r107595

* (bug 32702) Removed method Skin::makeGlobalVariablesScript() has been readded
  for backward compatibility.

moar w/s

w/s

MFT to REL1_18 r100610, bug 31921

This is a regression in REL1_18:

(bug 31921) Magic words REVISIONDAY, REVISIONMONTH and REVISIONYEAR now
give current values on preview

* backport of r106806
* TESTED install

[RELEASE-NOTES] Fix typo
* typo: mw.util.getScript should be mw.util.wikiScript, it was and is not named mw.util.getScript
* Introduced in r88513 under 1-19 "New features"
* r92328 merged it to 1-18 under "Bugs fixed"
* Now typo fixed and moved (back) to "New features"

Follow up r106579

* (bug 33240) Sort images are missing but references in css.

For bug 33240, svn copy in sort_down.gif and sort_up.gif from REL1_17

References in shared.css

Follow-up r106559: it's better to set the preference for own MediaWiki names in Language::getTranslatedLanguageNames. More consistent and saves some code :)
Also update Babel to use that function.

FU r106514: use base 16 SHA-1 to be consistent with image info

Remove ltr class (see r89466), it should not be used at all, because 1) the name is too general, 2) it is automatically added to the body element (colliding class names) and 3) it is better to use HTML dir="ltr" as in r105929.

And I of course forgot to commit ProtectionForm.php in r106567...

* Merged WikiPage::updateRestrictions() and Title::updateTitleProtection() into WikiPage::doUpdateRestrictions(); older methods still work for backward compatibility, but marked Title::updateTitleProtection() as deprecated and for removal in 1.20 since no extension calls it
* Removed permissions check from WikiPage::doUpdateRestrictions() and left it for callers, resolves the todo from documentation
* Inverted $expiry and $reason parameter between WikiPage::doUpdateRestrictions() and WikiPage::updateRestrictions() for more consistency; WikiPage::doUpdateRestrictions() also requires all parameters to be passed
* WikiPage::doUpdateRestrictions() returns a Status object instead of bool for the older one; only possible error at the moment is a read-only database
* Updated core calls to these functions
* Made maintenance scripts using it simply protect all actions returned by Title::getRestrictionTypes() instead of hardcoded 'edit' and 'move'
* This also means that protect.php can be used to protect a non-existing page for creation

Revert r106545 and pass a null variable by ref (also updated the documentation) so that the hook is called at the correct moment and after everything is executed.
This is *exactly* the same behaviour as before r88898 since $article was an out parameter to fill $wgArticle correctly.

Pass the User object to Revision::userCan()

Clarify documentation

Make the output consistent when no second parameter is given and second parameter equals first parameter. This gives preference to names defined in MediaWiki, but when it is not in MediaWiki, it also sees whether there is one defined in the translated language names.

followup r88898 -- move BeforeInitialize hook to where it can be
called in a way that matches the documented parameters

As it was, when an extension tried to use BeforeInitialize with the
documented parameters this resulted in an exception:

    Detected bug in an extension! Hook HookFunctionName has invalid
    call signature; Parameter 2 to HookFunctionName() expected to be a
    reference, value given

w/s

Kill some useless code in r106514

Per bug 28901, and Duplicatebug on r105831, only list the Article ID if it has already been loaded

Not a long term fix, but saves potentially a lot of database queries to lookup article ids, until the other issues on bug 28901 are tidied up

More example conversions/additions

Ping r106439

Pass the User object to Title::userCan()

Follow-up r92924: move the CSS/JS for e-mail validation to Special:ChangeEmail.

Also merge the different LTR/RTL styles, it is flipped anyway.

Expose rev_sha1/ar_sha1 to API (bug 21860)

Fixes to address MaxSem's comment on r106480 regarding DB2 tables.sql syntax, indentation, and capitalization:
* Made all table and column names lowercase for consistency
* Removed " from around some "identifiers". Not necessary for DB2.
* Applied consistent indentation to all table declarations
* Applied consistent indentation to all index declarations
* Moved all PRIMARY KEY clauses to their own line for consistency and max line length
* Moved all ON clauses to their own line for consistency and max line length
* Fixed vertical alignment for column names and data types, remove all other vertical alignment
* Removed commented out references to SEQUENCE values, as they are used in neither DB2 nor MySQL schemas.
* Consistent spacing around parens () and commas ,
* Capitalized all data types.
* Note: tables.sql is approaching DB2's 32k limit. It will need to be split into two files soon.

Use local context to get messages

Per Aaron, fix typo in r102187

FU r98698: Show any PHP warnings in tryRespondFromFileCache() in debug mode

follow up to r106456 - use one setting instead two, which apparently made my commit into a fixme

Fix parser error in r106480.

PHP Parse error:  syntax error, unexpected T_ARRAY, expecting ')' in includes/installer/Ibm_db2Updater.php on line 55

Fixes to DB2 support:
* Database schema update to reflect 1.18 and 1.19 changes.
* Better support for numRows() and dataSeek() functions on DB2 result sets.
* Updates to DB2 installer and updater classes.
* Developed by Andre, Diego, and other students at Minho University and reviewed by me.
* See r85885, r85896.