Rilascio Stabile di Discourse 3.0.2
Discourse raccomanda vivamente a tutti i siti di seguire il branch predefinito tests-passed di Discourse. Il branch “stable” è più focalizzato sulla mancanza di cambiamenti che sulla mancanza di bug: tutte le release, incluse quelle su tests-passed e beta, sono pronte per la produzione.
Modifiche
Sicurezza
- Aggiornamento di Rails a v7.0.4.3
- Nascondi il conteggio PM per i tag per impostazione predefinita (CVE-2023-23935)
- Correzione XSS nella risposta del compositore del nome completo (CVE-2023-25172)
- Monkey-patch della gemma web-push per utilizzare un client HTTP più sicuro (Advisory)
- Bypass della protezione SSRF con indirizzi IPv6 mappati IPv4 (CVE-2023-28111)
- Aggiunta di FinalDestination::FastImage che è sicuro per SSRF (CVE-2023-28112)
- Limita la frequenza di creazione dei backup (CVE-2023-28107)
Funzionalità
- Limita la frequenza delle ricerche anonime al secondo
Correzioni di bug
- Assicurati che i valori anon-cached non vengano mai restituiti per le richieste API (stable)
- Non inviare richieste di presenza quando si riceve 429
- Spec di sistema fallita per la ricerca limitata in frequenza
- Evita race condition durante l’impostazione dello stato dell’utente