Lançamento Estável do Discourse 3.0.2
O Discourse recomenda fortemente que todos os sites sigam o branch padrão tests-passed do Discourse. O branch “stable” foca mais na ausência de mudanças do que na ausência de bugs - todas as versões, incluindo as de tests-passed e beta, estão prontas para produção.
Mudanças
Segurança
- Atualiza o Rails para a v7.0.4.3
- Oculta a contagem de MPs para tags por padrão (CVE-2023-23935)
- Corrige XSS na resposta do compositor de nome completo (CVE-2023-25172)
- Monkey-patch na gem web-push para usar cliente HTTP mais seguro (Advisory)
- Bypass de proteção SSRF com endereços IPv6 mapeados para IPv4 (CVE-2023-28111)
- Adiciona FinalDestination::FastImage que é seguro contra SSRF (CVE-2023-28112)
- Limita a taxa de criação de backups (CVE-2023-28107)
Funcionalidade
- Limita a taxa de buscas anônimas por segundo
Correções de Bugs
- Garante que valores em cache anônimos nunca sejam retornados para requisições de API (stable)
- Não envia requisições de presença em excesso ao receber 429
- Falha na spec do sistema para busca com limite de taxa
- Evita condição de corrida ao definir o status do usuário