Version stable 3.0.2 de Discourse
Discourse recommande fortement que tous les sites suivent la branche par défaut tests-passés de Discourse. La branche « stable » se concentre davantage sur l’absence de changement que sur l’absence de bugs - toutes les versions, y compris celles sur tests-passés et bêta, sont prêtes pour la production.
Changements
Sécurité
- Mise à jour de Rails vers la v7.0.4.3
- Masquer le nombre de MP pour les tags par défaut (CVE-2023-23935)
- Correction XSS dans la réponse du compositeur de nom complet (CVE-2023-25172)
- Patchage de la gem web-push pour utiliser un client HTTP plus sûr (Avis)
- Contournement de la protection SSRF avec les adresses IPv6 mappées IPv4 (CVE-2023-28111)
- Ajout de FinalDestination::FastImage qui est sécurisé contre les SSRF (CVE-2023-28112)
- Limitation du taux de création de sauvegardes (CVE-2023-28107)
Fonctionnalité
- limitation du taux de recherches anonymes par seconde
Corrections de bugs
- S’assurer que les valeurs mises en cache anonymement ne sont jamais retournées pour les requêtes API (stable)
- Ne pas spammer les requêtes de présence lors de l’obtention de 429
- Spécification système échouée pour la recherche limitée par taux
- éviter les conditions de concurrence lors de la définition du statut de l’utilisateur