Discourse 3.0.2 稳定版发布
Discourse 强烈建议所有站点遵循 Discourse 的默认 tests-passed 分支。 “stable” 分支更侧重于不变性而非无 bug——所有发布,包括 tests-passed 和 beta 上的发布,都已准备好投入生产。
更改
安全
- 将 Rails 升级到 v7.0.4.3
- 默认隐藏标签的 PM 计数(CVE-2023-23935)
- 修复全名撰写器回复中的 XSS(CVE-2023-25172)
- Monkey-patch web-push gem 以使用更安全的 HTTP 客户端(公告)
- IPv4 映射的 IPv6 地址的 SSRF 保护绕过(CVE-2023-28111)
- 添加 FinalDestination::FastImage,它是 SSRF 安全的(CVE-2023-28112)
- 限制备份创建的速率(CVE-2023-28107)
功能
- 限制匿名用户每秒搜索次数
Bug 修复
- 确保 API 请求(stable)永远不会返回匿名缓存值
- 获取 429 时不要发送过多的 presence 请求
- 速率限制搜索的系统规范失败
- 避免在设置用户状态时出现竞态条件