3.0.1: Correzioni di sicurezza e bug

Annunci
1

Rilascio Stabile di Discourse 3.0.1

Discourse consiglia vivamente a tutti i siti di seguire il branch predefinito tests-passed di Discourse. Il branch “stabile” è più focalizzato sulla mancanza di modifiche che sulla mancanza di bug: tutte le release, comprese quelle su tests-passed e beta, sono pronte per la produzione.

Modifiche

Sicurezza

  • Previene XSS nelle onebox locali (CVE-2023-22468)
  • Il parametro exclude_tags potrebbe rivelare quali argomenti avevano un tag specifico nascosto (CVE-2023-23624)
  • Mostra elenchi di tag ristretti solo agli utenti autorizzati (CVE-2023-23620)
  • Previene ReDoS nell’analisi dello user agent (CVE-2023-23621)
  • Previene ReDoS rendendo la regex dell’URL SSH non ambigua (CVE in sospeso)
  • Rimuove bypass per base_url (CVE-2023-23615)
  • Limita il conteggio dei caratteri delle richieste di appartenenza ai gruppi (CVE-2023-23616)
  • Limita la lunghezza delle bozze (CVE-2023-22739)
  • Limita la lunghezza delle bozze di chat e il conteggio precaricato (CVE-2023-22740)
  • Aggiorna Rails a v7.0.4.1 (vedi annuncio rubyonrails.org)
  • Imposta i tag predefiniti per mostrare il conteggio degli argomenti nelle categorie non ristrette (CVE in sospeso)

Correzioni di bug

  • La selezione del testo interrompe l’apertura dei link in nuove schede
  • Non aggiungere tag use/svg vuoti in ExcerptParser
  • Salta l’email se vuota durante la sincronizzazione degli attributi SSO.
  • L’utente TL4 non viene reindirizzato all’ultimo quando elimina un argomento
  • Non contare i post eliminati per la sicurezza dei riferimenti di caricamento
  • Aggiunge uno slittamento negativo all’offset del popper
  • data-popper-reference-hidden troppo ampio
  • Corregge il margine su mini-tag-chooser
  • Impedisce ai msg-actions di mostrare il testo al passaggio del mouse
  • Genera uno slug automatico per i canali eliminati
  • L’utente TL4 può vedere gli argomenti eliminati
  • Consente lo scorrimento delle modali su mobile quando la tastiera è aperta
  • Non visualizzare opzioni riservate allo staff ai non staff nel menu di massa dei membri del gruppo
  • Sposta l’impostazione minima dei tag nella sezione tag in “modifica categoria”
  • Elimina host incorporabili mal configurati
  • Interroga UploadReference in UploadSecurity per i caricamenti esistenti
  • Cambia il tipo delle impostazioni del sito del dominio email in host_list
  • Non sovrascrivere il nome del canale quando viene selezionata una categoria
  • Accoda notify_mailing_list_subscribers quando un post viene recuperato
  • Cambia la dicitura da “titolo” a “nome” nella pagina “informazioni canale”
  • Nuovo supporto per hashtag per la narrazione avanzata del bot narrativo
  • Valida il parametro tags di TopicQuery
  • Corregge la migrazione errata delle impostazioni degli hashtag
  • Utilizza gli hashtag nei messaggi privati di archiviazione del canale, se disponibili
  • Aggiunge una migrazione per reindicizzare gli indici non validi
  • Assicura che l’estrazione dei sondaggi non venga tentata se il corpo del post è assente
  • Precarica gli attributi della barra laterale dell’utente quando ?enable_sidebar=1
  • Previene aggiornamenti concorrenti a top_topics
  • Reindirizzamento del logout del plugin compatibile con Ruby 2
  • Corregge un test instabile risultante dagli argomenti della parola chiave di PostAlerter
  • Migliora la segnalazione degli errori e le modalità di fallimento per l’archiviazione dei canali
  • Regressione nell’ambito del messaggio MessageBus di TopicTrackingState. (#19835)
13 Mi Piace