Issue #16039: CVE-2013-1752: Change use of readline in imaplib module to limit
line length.  Patch by Emil Lind.

Issue #22421 - Secure pydoc server run. Bind it to localhost instead of all interfaces.

Lax cookie parsing in http.cookies could be a security issue when combined
with non-standard cookie handling in some Web browsers.

Reported by Sergey Bobrov.

Issue #22419: Limit the length of incoming HTTP request in wsgiref server to
65536 bytes and send a 414 error code for higher lengths. Patch contributed
by Devin Cook.

Issue #22517: When a io.BufferedRWPair object is deallocated, clear its
weakrefs.

Issue #16041: CVE-2013-1752: poplib: Limit maximum line lengths to 2048 to
prevent readline() calls from consuming too much memory.  Patch by Jyrki
Pulliainen.

Issue #16042: CVE-2013-1752: smtplib: Limit amount of data read by
limiting the call to readline().  Original patch by Christian Heimes.

Issue #18747: document issue with OpenSSL's CPRNG state and fork

Issue #16038: CVE-2013-1752: ftplib: Limit amount of data read by
limiting the call to readline().  Original patch by Michał
Jastrzębski and Giampaolo Rodola.

Issue #16037: HTTPMessage.readheaders() raises an HTTPException when more than
100 headers are read.  Adapted from patch by Jyrki Pulliainen.

Issue #18709: Fix CVE-2013-4238. The SSL module now handles NULL bytes
inside subjectAltName correctly. Formerly the module has used OpenSSL's
GENERAL_NAME_print() function to get the string represention of ASN.1
strings for ``rfc822Name`` (email), ``dNSName`` (DNS) and
``uniformResourceIdentifier`` (URI).

Issue #13540: Update references to Action class to match syntax used for other classes in this file.

Issue #13540: Removed redundant documentation about Action instance attributes. Updated example and documentation per recommendations by Steven Bethard in msg149524.

Issue #13540: Expanded argparse documents to clarify the action API

Issue #21323: Fix http.server to again handle scripts in CGI subdirectories,
broken by the fix for security issue #19435.  Patch by Zach Byrne.

expect the correct platform-dependent linesep

url unquote the path before checking if it refers to a CGI script (closes #21766)

fix poor spelling

disallow a negative idx parameter

in scan_once, prevent the reading of arbitrary memory when passed a negative index

Bug reported by Guido Vranken.

fix versionchanged version

remove directory mode check from makedirs (closes #21082)

use https docs url (#21115)

add Ian Beer

fix expandtabs overflow detection to be consistent and not rely on signed overflow

use ssl.PROTOCOL_SSLv23 for maximum compatibility (closes #20896)

Issue #20246: Fix test failures on FreeBSD. Patch by Ryan Smith-Roberts.

update logo url (#20695)

open retrieved file in binary mode, since it's now compressed

complain when nbytes > buflen to fix possible buffer overflow (closes #20246)

Issue #12226: HTTPS is now used by default when connecting to PyPI.

Backout 7d399099334d.

Backout 265d369ad3b9.

Backout d80207d15294.

Update NEWS for 265d369ad3b9.

Issue #19286: [distutils] Only match files in build_py.find_data_files.

Issue #19286: Adding test demonstrating the failure when a directory is found in the package_data globs.

merge 3.1 (#19435)

use the collapsed path in the run_cgi method (closes #19435)

Merge #14984: only import pwd on POSIX.

#14984: only import pwd on POSIX.

Merge #14984: On POSIX, enforce permissions when reading default .netrc.

#14984: On POSIX, enforce permissions when reading default .netrc.

Initial patch by Bruno Piguet.

This is implemented as if a useful .netrc file could exist without passwords,
which is possible in the general case; but in fact our netrc implementation
does not support it.  Fixing that issue will be an enhancement.

Null merge of 3.1 into 3.2

Changeset c39f42f46a05 left a dangling head on 3.1.

Add a NEWS entry for b9b521efeba3.

Add NEWS entry for c18c18774e24.

Fix tkinter regression introduced by the security fix in #16248.

Fix tkinter regression introduced by the security fix in #16248.

Issue #17980: Fix possible abuse of ssl.match_hostname() for denial of service using certificates with many wildcards (CVE-2013-2099).

Added tag v3.2.5 for changeset cef745775b65

Bump to version 3.2.5.

Issue #17915: Fix interoperability of xml.sax with file objects returned by
codecs.open().

Issue #1159051: Back out a fix for handling corrupted gzip files that
broke backwards compatibility.

Issue #17857: Prevent build failures with pre-3.5.0 versions of sqlite3,
such as was shipped with Centos 5 and Mac OS X 10.4.

Issue #17843: Remove bz2 test data that triggers antivirus warnings.

Issue #15535: Fix pickling of named tuples.

Close #17666: Fix reading gzip files with an extra field.

news entry

This local change was lost during the fixing of issue17192 to update
libffi to 3.0.13.  (i'm not sure if it is needed anymore but see
issue 10309 for details which makes no mention of upstream; this
change is already in 3.3 and 3.4 but may need reapplying to 2.7
as done here)

* Fix issue 17192 for 3.2 - reapply the issue11729 patch that was undone
  in the merge fun from upstream which already had it in 3.0.13.
* Add the missing update to libffi.info.

Added tag v3.2.4 for changeset 1e10bdeabe3d

Bump to 3.2.4.

close search and replace dialog after it is used (closes #17625)

merge

Add 3.2.4 UUIDs

Fix XML vulnerability link references.

merge with last upstream doc changes in 3.2

Update suspicious ignore file.

#17329: document unittest.SkipTest.  Initial patch by Zachary Ware.

Issue 17538: Document XML vulnerabilties

Issue 17538: Document XML vulnerabilties

Added tag v3.2.4rc1 for changeset b2cb7bc1edb8

merge with main repo 3.2 branch

Issue #17425: Build with openssl 1.0.0k on Windows.

Clean up references to threads in test_queue.

Fixes issue #17488: Change the subprocess.Popen bufsize parameter default value
from unbuffered (0) to buffering (-1) to match the behavior existing code
expects and match the behavior of the subprocess module in Python 2 to avoid
introducing hard to track down bugs.

Copyright update to 2013.

Bump to 3.2.4rc1.

Fix suspicious markup in the docs.

Update pydoc topics.

Issue #17521: Corrected non-enabling of logger following two calls to fileConfig().

Updated Misc/NEWS with #17508.

Clean up references to the no longer existing PyString_ APIs in our docs.

Issue #17508: Handled out-of-order handler configuration correctly.

- Issue #16754: Fix the incorrect shared library extension on linux. Introduce
  two makefile macros SHLIB_SUFFIX and EXT_SUFFIX. SO now has the value of
  SHLIB_SUFFIX again (as in 2.x and 3.1). The SO macro is removed in 3.4.

#5712: Preemptively fix some other possible timing issues.

#5713: fix timing issue in smtplib tests.

remove the long obsolete mention of universal newlines mode only being
available when configured at compile time.

#5713: Handle 421 error codes during sendmail by closing the socket.

This is a partial fix to the issue of servers disconnecting unexpectedly; in
this case the 421 says they are disconnecting, so we close the socket and
return the 421 in the appropriate error context.

Original patch by Mark Sapiro, updated by Kushal Das, with additional
tests by me.

#17493: re-enable a test on Windows.  Patch by Zachary Ware.

Fix usage of argument/parameter and markup.

#17471 - Increasing the urllib.error test coverage. Bringing it to 100%. Based on patch contributed by Daniel Wozniak

Merge

merge heads

Issue #10296 : Don't handle BreakPoint exceptions using
Structured Exception Handling on windows.

#1525919: Document MIMEText+set_payload encoding behavior.

merge heads in 3.2

#17471 - Improve urllib2 test coverage. Patch contributed by Daniel Wozniak

#8862: Fix curses cleanup with getchar is interrupted by a signal.

I have no idea how one would write a test for this.

Patch by July Tikhonov.

#17443: Fix buffering in IMAP4_stream.

In Python2 Popen uses *FILE objects, which wind up buffering even though
subprocess defaults to no buffering.  In Python3, subprocess streams really
are unbuffered by default, but the imaplib code assumes read is buffered.  This
patch uses the default buffer size from the io module to get buffered streams
from Popen.

Much debugging work and patch by Diane Trout.

The imap protocol is too complicated to write a test for this simple
change with our current level of test infrastructure.