3.0.1 : Corrections de sécurité et de bogues

Annonces
1

Discourse 3.0.1 Stable Release

Discourse recommande fortement à tous les sites de suivre la branche par défaut tests-passés de Discourse. La branche « stable » se concentre davantage sur l’absence de changement que sur l’absence de bugs - toutes les versions, y compris celles sur tests-passés et bêta, sont prêtes pour la production.

Changements

Sécurité

  • Empêcher le XSS dans les oneboxes locales (CVE-2023-22468)
  • Le paramètre exclude_tags pourrait révéler quels sujets avaient une étiquette cachée spécifique (CVE-2023-23624)
  • Afficher uniquement les listes d’étiquettes restreintes aux utilisateurs autorisés (CVE-2023-23620)
  • Empêcher le ReXSS dans l’analyse de l’agent utilisateur (CVE-2023-23621)
  • Empêcher le ReDoS en rendant l’expression régulière de l’URL SSH non ambiguë (CVE en attente)
  • Supprimer le contournement pour base_url (CVE-2023-23615)
  • Limiter le nombre de caractères des demandes d’adhésion aux groupes (CVE-2023-23616)
  • Limiter la longueur des brouillons (CVE-2023-22739)
  • Limiter la longueur des brouillons de chat et le nombre préchargé (CVE-2023-22740)
  • Mise à niveau de Rails vers la v7.0.4.1 (voir l’annonce rubyonrails.org)
  • Par défaut, les étiquettes affichent le nombre de sujets dans les catégories non restreintes (CVE en attente)

Corrections de bugs

  • La sélection de texte interrompt l’ouverture des liens dans de nouveaux onglets
  • Ne pas ajouter de balises use/svg vides dans ExcerptParser
  • Ignorer l’e-mail s’il est vide lors de la synchronisation des attributs SSO.
  • L’utilisateur TL4 n’est pas redirigé vers le dernier lorsqu’il supprime un sujet
  • Ne pas compter les messages supprimés pour la sécurité des références de téléchargement
  • Ajoute un décalage négatif au décalage du popper
  • data-popper-reference-hidden trop large
  • Corriger la marge sur mini-tag-chooser
  • Empêche les msg-actions d’afficher le texte au survol
  • Génère un slug automatique pour les canaux mis à la corbeille
  • L’utilisateur TL4 peut voir les sujets supprimés
  • Permettre aux modales de défiler sur mobile lorsque le clavier est ouvert
  • Ne pas afficher les options réservées au personnel aux non-personnel dans le menu de masse des membres du groupe
  • Déplacer le paramètre min tag dans la section tags de la catégorie d’édition
  • Suppression des hôtes intégrables mal configurés
  • Interroger UploadReference dans UploadSecurity pour les téléchargements existants
  • Changer le type de paramètre de site du domaine de messagerie en host_list
  • Ne pas remplacer le nom du canal lorsque la catégorie est sélectionnée
  • Enfiler notify_mailing_list_subscribers lorsque le message est récupéré
  • Changer la formulation de title → name dans la page d’informations du canal
  • Nouveau support des hashtags pour le bot narratif avancé
  • Valider le paramètre tags de TopicQuery
  • Corriger la migration incorrecte des paramètres de hashtag
  • Utiliser les hashtags dans les MP d’archive de canal si disponibles
  • Ajouter une migration pour réindexer les index invalides
  • S’assurer que l’extraction de sondage n’est pas tentée si le corps du message est absent
  • Précharger les attributs de la barre latérale utilisateur lorsque ?enable_sidebar=1
  • Empêcher les mises à jour concurrentes de top_topics
  • Redirection de déconnexion de plugin compatible avec Ruby 2
  • Corriger un test instable résultant des arguments de mots-clés de PostAlerter
  • Améliorer le reporting d’erreurs et les modes d’échec pour l’archivage des canaux
  • Régression dans la portée du message MessageBus de TopicTrackingState. (#19835)
13 « J'aime »