Discourse 3.0.2 Stabile Veröffentlichung
Discourse empfiehlt dringend, dass alle Websites dem Standard-Branch „tests-passed“ von Discourse folgen. Der „stabile“-Branch konzentriert sich mehr auf fehlende Änderungen als auf fehlende Fehler – alle Veröffentlichungen, einschließlich derer auf tests-passed und Beta, sind produktionsreif.
Änderungen
Sicherheit
- Rails auf v7.0.4.3 aktualisiert
- PM-Anzahl für Tags standardmäßig ausblenden (CVE-2023-23935)
- XSS in der Vollnamen-Composer-Antwort behoben (CVE-2023-25172)
- Web-Push-Gem mit Monkey-Patch versehen, um einen sichereren HTTP-Client zu verwenden (Advisory)
- SSRF-Schutz-Umgehung mit IPv4-mapped IPv6-Adressen (CVE-2023-28111)
- FinalDestination::FastImage hinzugefügt, das SSRF-sicher ist (CVE-2023-28112)
- Ratenbegrenzung für die Erstellung von Backups (CVE-2023-28107)
Funktion
- Ratenbegrenzung für anonyme Suchen pro Sekunde
Fehlerbehebungen
- Sicherstellen, dass anonyme Cache-Werte niemals für API-Anfragen zurückgegeben werden (stabil)
- Keine Spam-Präsenz-Anfragen bei Erhalt von 429
- Fehlende System-Spezifikation für ratenbegrenzte Suche
- Race Condition beim Setzen des Benutzerstatus vermeiden