3.0.1: Correções de segurança e de bugs

Anúncios
1

Lançamento Estável do Discourse 3.0.1

O Discourse recomenda fortemente que todos os sites sigam o branch padrão tests-passed do Discourse. O branch “stable” foca mais na ausência de mudanças do que na ausência de bugs - todas as versões, incluindo as de tests-passed e beta, estão prontas para produção.

Mudanças

Segurança

  • Previne XSS em oneboxes locais (CVE-2023-22468)
  • O parâmetro exclude_tags poderia vazar quais tópicos tinham uma tag oculta específica (CVE-2023-23624)
  • Exibe listas de tags restritas apenas para usuários autorizados (CVE-2023-23620)
  • Previne ReDoS na análise do user agent (CVE-2023-23621)
  • Previne ReDoS tornando a regex de URL SSH inequívoca (CVE pendente)
  • Remove bypass para base_url (CVE-2023-23615)
  • Limita a contagem de caracteres de solicitações de associação de grupo (CVE-2023-23616)
  • Limita o comprimento de rascunhos (CVE-2023-22739)
  • Limita o comprimento e a contagem pré-carregada de rascunhos de chat (CVE-2023-22740)
  • Atualiza o Rails para a v7.0.4.1 (veja o anúncio em rubyonrails.org)
  • Define tags padrão para mostrar a contagem de tópicos em categorias irrestritas (CVE pendente)

Correções de Bugs

  • A seleção de texto quebra a abertura de links em novas abas
  • Não adiciona tags use/svg vazias no ExcerptParser
  • Ignora o e-mail se estiver em branco ao sincronizar atributos SSO.
  • Usuário TL4 não é redirecionado para o mais recente ao excluir tópico
  • Não conta posts excluídos para segurança de referência de upload
  • Adiciona skidding negativo ao deslocamento do popper
  • data-popper-reference-hidden muito amplo
  • Corrige a margem no mini-tag-chooser
  • Impede que msg-actions mostrem texto de hover
  • Gera slug automático para canais excluídos
  • Usuário TL4 pode ver tópicos excluídos
  • Permite que modais rolem no celular quando o teclado está aberto
  • Não exibe opções exclusivas para staff para não-staff no menu em massa de membros do grupo
  • Move a configuração min tag para a seção de tags na edição da categoria
  • Exclui hosts incorporáveis mal configurados
  • Consulta UploadReference em UploadSecurity para uploads existentes
  • Muda o tipo de configuração do site de domínio de e-mail para host_list
  • Não substitui o nome do canal quando a categoria é selecionada
  • Enfileira notify_mailing_list_subscribers quando o post é recuperado
  • Muda a redação de title para name na página “sobre” do canal
  • Novo suporte a hashtags para o bot de narrativa avançada
  • Valida o parâmetro tags de TopicQuery
  • Corrige migração incorreta de configuração de hashtags
  • Usa hashtags em PMs de arquivamento de canais, se disponíveis
  • Adiciona migração para reindexar índices inválidos
  • Garante que a extração de enquetes não seja tentada se o corpo do post estiver ausente
  • Pré-carrega atributos da barra lateral do usuário quando ?enable_sidebar=1
  • Previne atualizações concorrentes em top_topics
  • Redirecionamento de logout de plugin compatível com Ruby 2
  • Corrige teste instável resultante de argumentos de palavra-chave PostAlerter
  • Melhora o relatório de erros e modos de falha para arquivamento de canais
  • Regressão no escopo da mensagem MessageBus de TopicTrackingState. (#19835)
13 curtidas