3.0.1: Исправления уязвимостей и ошибок

Новости и события Объявления
1

Стабильный релиз Discourse 3.0.1

Discourse настоятельно рекомендует всем сайтам использовать ветку tests-passed по умолчанию. Ветка «stable» больше ориентирована на отсутствие изменений, чем на отсутствие ошибок — все выпуски, включая те, что в ветках tests-passed и beta, готовы к использованию в продакшене.

Изменения

Безопасность

  • Предотвращение XSS в локальных oneboxes (CVE-2023-22468)
  • Параметр exclude_tags мог раскрывать темы с определённым скрытым тегом (CVE-2023-23624)
  • Отображение ограниченных списков тегов только авторизованным пользователям (CVE-2023-23620)
  • Предотвращение ReDoS при парсинге user agent (CVE-2023-23621)
  • Предотвращение ReDoOS за счёт устранения неоднозначности в регулярном выражении для SSH-URL (CVE ожидается)
  • Удаление обхода для base_url (CVE-2023-23615)
  • Ограничение количества символов в запросах на вступление в группу (CVE-2023-23616)
  • Ограничение длины черновиков (CVE-2023-22739)
  • Ограничение длины черновиков чата и количества предварительно загружаемых элементов (CVE-2023-22740)
  • Обновление Rails до версии v7.0.4.1 (см. объявление на rubyonrails.org)
  • По умолчанию теги показывают количество тем в неограниченных категориях (CVE ожидается)

Исправления ошибок

  • Выделение текста нарушает открытие ссылок в новых вкладках
  • Убрано добавление пустых тегов use/svg в ExcerptParser
  • Пропуск пустых email при синхронизации атрибутов SSO
  • Пользователь TL4 не перенаправляется на последнюю тему при удалении темы
  • Удалённые посты не учитываются при проверке безопасности загрузки
  • Добавлен отрицательный сдвиг для смещения popper
  • Селектор data-popper-reference-hidden был слишком широким
  • Исправлен отступ в мини-выборе тегов
  • Предотвращено отображение всплывающего текста при наведении на msg-actions
  • Автоматическая генерация slug для удалённых каналов
  • Пользователь TL4 может видеть удалённые темы
  • Разрешена прокрутка модальных окон на мобильных устройствах при открытой клавиатуре
  • Опции только для персонала больше не отображаются для обычных пользователей в массовом меню участников группы
  • Перемещена настройка минимального количества тегов в раздел тегов при редактировании категории
  • Удалены некорректно настроенные хосты для встраивания
  • Запрос UploadReference в UploadSecurity для существующих загрузок
  • Тип настройки домена email изменён на host_list
  • Имя канала не переопределяется при выборе категории
  • Добавление в очередь уведомления подписчиков рассылки при восстановлении поста
  • Изменено формулирование: titlename на странице описания канала
  • Новая поддержка хэштегов для продвинутого сценария Narrative Bot
  • Валидация параметра тегов в TopicQuery
  • Исправлена ошибочная миграция настроек хэштегов
  • Использование хэштегов в личных сообщениях об архивировании канала, если они доступны
  • Добавлена миграция для переиндексации некорректных индексов
  • Убедитесь, что извлечение опросов не выполняется, если тело поста отсутствует
  • Предзагрузка атрибутов боковой панели пользователя при ?enable_sidebar=1
  • Предотвращение одновременных обновлений top_topics
  • Обратная совместимость плагина для Ruby 2 при перенаправлении выхода
  • Исправлен нестабильный тест, вызванный именованными аргументами в PostAlerter
  • Улучшена отчётность об ошибках и режимы обработки сбоев при архивировании каналов
  • Регрессия в области сообщений MessageBus для TopicTrackingState (#19835)
13 лайков