3.1.0.beta2:セキュリティ修正、新しいAPIスコープなど

お知らせ
1

このベータ版には、コミュニティおよび HackerOne から報告された問題に対するいくつかのセキュリティ修正が含まれています。また、API スコープの改善も含まれています。

セキュリティ

  • ローカルの onebox での XSS を防止 (CVE-2023-22468)
  • exclude_tags パラメータが、特定の非表示タグを持つトピックを漏洩する可能性がありました (CVE-2023-23624)
  • 制限されたタグ リストは、承認されたユーザーにのみ表示されます (CVE-2023-23620)
  • ユーザーエージェントの解析における ReDoS を防止 (CVE-2023-23621)
  • SSH URL 正規表現を曖昧でないようにすることで ReDoS を防止 (CVE 申請中)
  • base_url のバイパスを削除 (CVE-2023-23615)
  • グループメンバーシップ要求の文字数を制限 (CVE-2023-23616)
  • 下書きの長さを制限 (CVE-2023-22739)
  • チャット下書きの長さとプリロード数を制限 (CVE-2023-22740)
  • Rails を v7.0.4.1 に更新 (発表 rubyonrails.org を参照)
  • デフォルトでタグに、制限されていないカテゴリのトピック数を表示 (CVE 申請中)

新機能

  • ユーザーの停止、招待の作成、検索のための API スコープを追加
  • より優れた TikTok onebox サポートを追加
  • 管理者がリビジョンを完全に削除できるようにする
  • TL4 ユーザーが投稿を削除できる設定を追加
  • TL4 ユーザーがリストされていないトピックを表示できるようにする
  • Discourse-to-Discourse トピック onebox でより多くのコンテキストを表示

追加機能と修正

クリックして展開
  • チャットチャンネル作成時のスラッグ変更を許可
  • pg_force_readonly_mode グローバル設定を導入
  • 検索に in:polls フィルタを追加
  • 古いハッシュタグ形式を再ベイク用にマークする rake タスクを追加
  • メール webhook シグネチャを検証
  • トピック更新 API スコープを拡張してステータス更新を許可
  • リダイレクトアバターキャッシュを 1 日に延長
  • 遅延キューに基本的なインストルメンテーションを追加
  • グループオーナーがより多くのオーナーを昇格できるようにする

バグ修正

  • lazy_yt_enabled がエンジンに影響しない
  • 投稿に関連付けられたレビューアイテムを自動的に削除
  • テキスト選択が新しいタブでリンクを開くのを妨げる
  • ExcerptParser で空の use/svg タグを追加しない
  • SSO 属性を同期中にメールが空の場合はスキップする
  • TL4 ユーザーがトピックを削除したときに最新版にリダイレクトされない
  • アップロード参照セキュリティのために削除された投稿をカウントしない
  • ポッパーオフセットにネガティブスキディングを追加
  • data-popper-reference-hidden が広すぎる
  • mini-tag-chooser のマージンを修正
  • msg-actions がホバーテキストを表示するのを防止
  • 削除されたチャンネルの自動スラッグを生成
  • TL4 ユーザーが削除されたトピックを表示できる
  • キーボードが開いているときにモバイルでモーダルをスクロールできるようにする
  • スタッフ以外のユーザーにグループメンバー一括メニューのスタッフ専用オプションを表示しない
  • 最小タグ設定をカテゴリ編集のタグセクションに移動
  • 設定ミスした埋め込みホストを削除
  • UploadSecurity で既存のアップロードの UploadReference をクエリする
  • メールドメインサイト設定のタイプを host_list に切り替え
  • カテゴリが選択されたときにチャンネル名を上書きしない
  • 回復された投稿時に notify_mailing_list_subscribers をエンキューする
  • チャンネル概要ページのタイトルから titlename に変更
  • 新しいハッシュタグを高度なナラティブボットのナラティブにサポート
  • テーマのクラスプロパティ Babel トランスフォームを復元
  • TopicQuery のタグパラメータを検証
  • チャットで Discourse onebox タグアイコンを正しく表示
  • 不正なハッシュタグ設定移行を修正
  • 利用可能な場合は、チャンネルアーカイブ PM でハッシュタグを使用する
  • 無効なインデックスを再インデックスする移行を追加
  • ポスト本文が存在しない場合は、ポールの抽出を試みない
  • ?enable_sidebar=1 の場合にユーザーサイドバー属性をプリロードする
  • top_topics の同時更新を防止
  • Ruby 2 後方互換プラグインのログアウトリダイレクト
  • PostAlerter キーワード引数による不安定なテスト結果を修正
  • MessageBus メッセージスコープの TopicTrackingState のリグレッション
  • チャンネルアーカイブのエラーレポートと失敗モードを改善

UX 変更

  • ヘルパー検索の余分な空白を削除
  • ユーザーカードのステータスオーバーフローを防止
  • 一括ボタンのレイアウトと配置を改善
  • ユーザーナビゲーションの修正と調整
  • ペナルティ履歴をスティッキーに設定
  • ラップ時にタイムラインの日付を非表示
  • 左マージンを削除
  • 検索キーワードにマージンを追加
  • カテゴリボックスのレイアウトを flexbox から grid に切り替え
  • 検索コンテキストボタンのテキストが折り返すのを防止
  • スペース不足とその他の検索調整を追加
  • チャネルフィールドの順序を変更
  • クォート/共有ポップアップを再スタイル設定、ホバーのジッターを修正
  • Discourse onebox のタグアイコンの配置をリファクタリング
  • オートコンプリートの配置問題を修正
  • トピックリストのアバターを合理化

パフォーマンス

  • ユーザーの状態が無効な場合にメンションのために投稿を解析しない
  • タグ表示時の N+1 クエリ

アクセシビリティ

  • Discourse タグにロールとラベルを追加
  • フラグ設定テキストエリアに aria ラベルを追加
  • ユーザープロファイルから見出しタグを削除
  • ユーザープロファイルに 2 番目のスキップリンクを追加
  • より説明的なユーザーページタイトル
  • 新しいユーザーナビゲーションに aria タグを追加
「いいね!」 13
2

しかし、まだあります!

新機能や変更点を皆様に分かりやすくお伝えするよう努めておりますが、変更点が多すぎてすべてを説明することはできません。新機能、バグ修正、UX改善などの全リストについては、以下に記載されている追加機能と修正をご確認ください。

プラグインの改善

discourse-animated-avatars

バグ修正
  • デフォルトのユーザーシリアライザーで、アニメーションアバターをnilに設定します。

discourse-assign

新機能
  • 担当者選択ダイアログを自動的に開きます。
  • 担当者を検索する際に、ユーザーのステータスを表示します。

discourse-calendar

新機能
  • イベントに最小オプションを追加します。
バグ修正
  • イベント作成後に読み込まれない問題を修正します。
  • イベントリマインダープッシュ通知のタイトルに必要な翻訳を追加します。

discourse-characters-required

バグ修正
  • コンポーネントのインポート

discourse-code-review

バグ修正
  • 最初のコミットとの差分を許可します。
  • 無関係なPRイベントをスキップします。

discourse-encrypt

バグ修正
  • メンション検索の不具合を修正します。

discourse-prometheus-alert-receiver

パフォーマンス
  • クライアント側で使われなくなったオープン/ファイアリングアラートクエリを削除します。

discourse-zendesk-plugin

UX変更
  • 設定名と説明を改善します。
「いいね!」 7