3.0.1: Correcciones de seguridad y errores

Anuncios
1

Lanzamiento Estable de Discourse 3.0.1

Discourse recomienda encarecidamente que todos los sitios sigan la rama por defecto tests-passed de Discourse. La rama “stable” se centra más en la ausencia de cambios que en la ausencia de errores: todos los lanzamientos, incluidos los de tests-passed y beta, están listos para producción.

Cambios

Seguridad

  • Prevenir XSS en oneboxes locales (CVE-2023-22468)
  • El parámetro exclude_tags podría filtrar qué temas tenían una etiqueta oculta específica (CVE-2023-23624)
  • Mostrar solo listas de etiquetas restringidas a usuarios autorizados (CVE-2023-23620)
  • Prevenir ReDoS en el análisis del agente de usuario (CVE-2023-23621)
  • Prevenir ReDoS haciendo que la expresión regular de la URL SSH sea inequívoca (CVE pendiente)
  • Eliminar bypass para base_url (CVE-2023-23615)
  • Limitar el recuento de caracteres de las solicitudes de membresía de grupo (CVE-2023-23616)
  • Limitar la longitud de los borradores (CVE-2023-22739)
  • Limitar la longitud de los borradores de chat y el recuento precargado (CVE-2023-22740)
  • Actualizar Rails a v7.0.4.1 (ver anuncio de rubyonrails.org)
  • Etiquetas por defecto para mostrar el recuento de temas en categorías no restringidas (CVE pendiente)

Correcciones de errores

  • La selección de texto interrumpe la apertura de enlaces en nuevas pestañas
  • No añadir etiquetas use/svg vacías en ExcerptParser
  • Omitir correo electrónico si está en blanco al sincronizar atributos SSO.
  • El usuario TL4 no es redirigido a latest al eliminar un tema
  • No contar publicaciones eliminadas para la seguridad de referencias de carga
  • Añade deslizamiento negativo al desplazamiento del popper
  • data-popper-reference-hidden demasiado amplio
  • Corregir margen en mini-tag-chooser
  • Evita que msg-actions muestre texto al pasar el ratón
  • Genera slug automático para canales eliminados
  • El usuario TL4 puede ver temas eliminados
  • Permitir que los modales se desplacen en el móvil cuando el teclado está abierto
  • No mostrar opciones solo para personal en el menú masivo de miembros del grupo
  • Mover la configuración mínima de etiquetas a la sección de etiquetas en editar categoría
  • Eliminar hosts incrustables mal configurados
  • Consultar UploadReference en UploadSecurity para cargas existentes
  • Cambiar el tipo de configuración del sitio del dominio de correo electrónico a host_list
  • No anular el nombre del canal cuando se selecciona la categoría
  • Encolar notify_mailing_list_subscribers cuando se recupera una publicación
  • Cambiar el texto de título a name en la página de información del canal
  • Nuevo soporte de hashtags para el bot narrativo avanzado
  • Validar el parámetro de etiquetas de TopicQuery
  • Corregir migración de configuración de hashtag incorrecta
  • Usar hashtags en los PM de archivo de canal si están disponibles
  • Añadir migración para reindexar índices inválidos
  • Asegurar que no se intente extraer encuestas si el cuerpo de la publicación está ausente
  • Precargar atributos de la barra lateral del usuario cuando ?enable_sidebar=1
  • Prevenir actualizaciones concurrentes de top_topics
  • Redirección de logout de plugin compatible con Ruby 2
  • Corregir prueba inestable resultante de argumentos de palabra clave de PostAlerter
  • Mejorar la notificación de errores y los modos de fallo para el archivo de canales
  • Regresión en el alcance del mensaje MessageBus de TopicTrackingState. (#19835)
13 Me gusta