Require invirt-web POSTs to have proper referers
[invirt/packages/invirt-web.git] / debian / changelog
index e22711c..1d8e0f3 100644 (file)
@@ -1,3 +1,212 @@
+invirt-web (0.1.18) unstable; urgency=low
+
+  * Require a valid Referer header for any POSTed form, as a guard against
+    cross-site request forgery.
+
+ -- Joshua Oreman <oremanj@mit.edu>  Sat, 07 May 2011 22:34:46 -0400
+
+invirt-web (0.1.17) unstable; urgency=low
+
+  * Add support for amd64 and i386 squeeze autoinstalls.
+
+ -- Quentin Smith <quentin@mit.edu>  Sat, 22 Jan 2011 21:27:04 -0500
+
+invirt-web (0.1.16) unstable; urgency=low
+
+  * Show historical domain CPU usage if available.
+
+ -- Quentin Smith <quentin@mit.edu>  Wed, 29 Dec 2010 02:23:10 -0500
+
+invirt-web (0.1.15) unstable; urgency=low
+
+  * Add support for amd64 debathena lucid autoinstalls.
+
+ -- Quentin Smith <quentin@mit.edu>  Tue, 28 Dec 2010 02:02:09 -0500
+
+invirt-web (0.1.14) unstable; urgency=low
+
+  * Add support for i386 maverick and amd64 and i386 lucid autoinstalls.
+  * Use the autoinstall ID as the preseed filename, instead of the distro
+    + arch, so that there can be multiple autoinstalls for the same
+    distro.
+
+ -- Quentin Smith <quentin@mit.edu>  Mon, 27 Dec 2010 14:17:31 -0500
+
+invirt-web (0.1.13) unstable; urgency=low
+
+  * Support preseed-based autoinstalls, including amd64 maverick.
+
+ -- Quentin Smith <quentin@mit.edu>  Sun, 26 Dec 2010 23:47:21 -0500
+
+invirt-web (0.1.10) unstable; urgency=low
+
+  * Enable VM creation by default
+
+ -- Joshua Oreman <oremanj@mit.edu>  Mon, 18 Oct 2010 14:54:21 -0400
+
+invirt-web (0.1.9) unstable; urgency=low
+
+  * Adds support for disabling (conditionally) VM creation in list.mako, main.py
+
+ -- Peter A. Iannucci <iannucci@mit.edu>  Mon, 04 Oct 2010 20:54:10 -0400
+
+invirt-web (0.1.8) lucid; urgency=low
+
+  [ Andrew M. Farrell ]
+  * Rename code/ to /var/www/invirt-web/ in binary-fixup
+
+  [ Greg Brockman ]
+  * Use expandOwner/expandAdmin rather than removed expandLocker
+
+ -- Greg Brockman <gdb@mit.edu>  Thu, 26 Aug 2010 02:24:57 -0400
+
+invirt-web (0.1.7) unstable; urgency=low
+
+  * Checkout the current HEAD when building
+
+ -- Greg Brockman <gdb@mit.edu>  Mon, 23 Aug 2010 15:05:29 -0400
+
+invirt-web (0.1.6) unstable; urgency=low
+
+  * Remove crufty invirt-web-iptables files
+  * Switch to git from svn
+  * Add gitweb configuration
+
+ -- Greg Brockman <gdb@mit.edu>  Sat, 14 Aug 2010 00:46:44 -0400
+
+invirt-web (0.1.5) unstable; urgency=low
+
+  * Removed nonexistance makefile target and redundant ch{mod,gp}ing
+
+ -- Greg Brockman <gdb@mit.edu>  Tue, 19 Jan 2010 01:31:46 -0500
+
+invirt-web (0.1.4) unstable; urgency=low
+
+  * Merge invirt-web-iptables into invirt-web and use the new
+    invirt-iptables interface.
+
+ -- Evan Broder <broder@mit.edu>  Sun, 03 Jan 2010 16:36:47 -0500
+
+invirt-web (0.1.3) unstable; urgency=low
+
+  * Add some more user-friendly error handling for common errors. (LP:
+    #307296)
+
+ -- Evan Broder <broder@mit.edu>  Mon, 28 Dec 2009 13:03:00 -0600
+
+invirt-web (0.1.2) unstable; urgency=low
+
+  * Do some quick config cleanup.
+
+ -- Evan Broder <broder@mit.edu>  Mon, 21 Dec 2009 12:10:41 -0600
+
+invirt-web (0.1.1) unstable; urgency=low
+
+  * Use a different Mako template cache for auth.fcgi and unauth.fcgi
+  * Use shell scripts for the auth.fcgi and unauth.fcgi so that Apache
+    will not think they are the same script.
+
+ -- Quentin Smith <quentin@mit.edu>  Sun, 20 Dec 2009 23:53:17 -0500
+
+invirt-web (0.1.0) unstable; urgency=low
+
+  [Quentin Smith]
+  * Switch to CherryPy in place of our home-grown web framework.
+  * Switch from the Cheetah templating engine to the Mako templating engine.
+  * New URI scheme: /machine/<numeric-id>/<operation>
+    rather than /<operation>?machine_id=<numeric-id> .
+  * Fix power-on/power-off/reboot buttons for IE <=8.
+  * Move some bits of presentation code from Python into templates.
+  * Clarify that Windows licenses are available from MIT for staff.
+
+  [Evan Broder]
+  * Show newlines from descriptions in list page.
+  * Only aklog to a cell if encryption is actually needed.
+  * Re-arrange the authz configuration.
+
+ -- Greg Price <price@mit.edu>  Sat, 19 Dec 2009 21:53:40 -0500
+
+invirt-web (0.0.24) unstable; urgency=low
+
+  * Update authorization code for new config structure.
+
+ -- Evan Broder <broder@mit.edu>  Wed, 16 Dec 2009 11:47:13 -0600
+
+invirt-web (0.0.23) unstable; urgency=low
+
+  * Revert 0.0.22, since running VMs still have a password set.
+
+ -- Evan Broder <broder@mit.edu>  Mon, 28 Sep 2009 23:24:00 -0400
+
+invirt-web (0.0.22) unstable; urgency=low
+
+  * Don't supply a password to the VNC server, since one is no longer
+    required.
+
+ -- Evan Broder <broder@mit.edu>  Mon, 28 Sep 2009 21:24:06 -0400
+
+invirt-web (0.0.21) unstable; urgency=low
+
+  [ Quentin Smith ]
+  * Don't reuse IP addresses that are special in some way.
+
+  [ Evan Broder ]
+  * Cache the membership of the adminacl in addition to the ACLs for
+    machines.
+
+ -- Evan Broder <broder@mit.edu>  Fri, 27 Feb 2009 21:06:55 -0500
+
+invirt-web (0.0.20) unstable; urgency=low
+
+  * Don't confuse MB with MiB, or GB with GiB.
+
+ -- Anders Kaseorg <andersk@mit.edu>  Tue, 17 Feb 2009 04:54:54 -0500
+
+invirt-web (0.0.19) unstable; urgency=low
+
+  * modified quota checking to refer to invirt.database.Owner for quotas and defaults
+
+ -- Peter A. Iannucci <iannucci@mit.edu>  Tue, 17 Feb 2009 01:31:01 -0500
+
+invirt-web (0.0.18) unstable; urgency=low
+
+  * depend on apache2, libapache2-mod-auth-sslcert, python-dnspython
+  * enable Apache modules we need
+  * get mitCAclient.pem from debathena-ssl-certificates
+  * organize our 24 dependencies a bit
+
+ -- Greg Price <price@mit.edu>  Sat, 31 Jan 2009 14:59:14 -0500
+
+invirt-web (0.0.17) unstable; urgency=low
+
+  * Add Provides and Conflicts lines to debian/control for
+    config-package-dev
+
+ -- Evan Broder <broder@mit.edu>  Sat, 24 Jan 2009 20:15:29 -0500
+
+invirt-web (0.0.16) unstable; urgency=low
+
+  * Fix a security vulnerability: traditional `pts mem` is in cleartext
+    and could be spoofed.  Use new -encrypt option, which needs tokens.
+
+  * make initscript stop command not leave apache2 processes lying around
+    (so that restart works)
+  * Depend on mail-transport-agent, not postfix.
+
+ -- Greg Price <price@mit.edu>  Tue, 30 Dec 2008 17:43:41 -0500
+
+invirt-web (0.0.15) unstable; urgency=low
+
+  * config.{authn[0] => kerberos}.realm
+
+ -- Evan Broder <broder@mit.edu>  Wed, 10 Dec 2008 23:30:46 -0500
+
+invirt-web (0.0.14) unstable; urgency=low
+
+  * Depend on invirt-web-iptables
+
+ -- Evan Broder <broder@mit.edu>  Sun, 07 Dec 2008 09:12:45 -0500
+
 invirt-web (0.0.13) unstable; urgency=low
 
   * Add cron dependency