3.1.0.beta2: Sicherheitsfixes, neue API-Bereiche und mehr

Ankündigungen
1

Diese Betaversion enthält mehrere Sicherheitsfixes für Probleme, die von unserer Community und HackerOne gemeldet wurden. Sie enthält auch Verbesserungen an den API-Bereichen.

Sicherheit

  • XSS in lokalen Oneboxen verhindern (CVE-2023-22468)
  • Der Parameter exclude_tags könnte preisgeben, welche Themen ein bestimmtes verstecktes Tag hatten (CVE-2023-23624)
  • Nur autorisierten Benutzern eingeschränkte Tag-Listen anzeigen (CVE-2023-23620)
  • ReDoS bei der Analyse des User-Agents verhindern (CVE-2023-23621)
  • ReDoS verhindern, indem der SSH-URL-Regex eindeutig gemacht wird (CVE ausstehend)
  • Umgehung für base_url entfernen (CVE-2023-23615)
  • Zeichenanzahl von Gruppenmitgliedschaftsanfragen begrenzen (CVE-2023-23616)
  • Länge von Entwürfen begrenzen (CVE-2023-22739)
  • Länge und vorab geladene Anzahl von Chat-Entwürfen begrenzen (CVE-2023-22740)
  • Rails auf v7.0.4.1 aktualisieren (siehe Ankündigung rubyonrails.org)
  • Standardmäßig werden Tags angezeigt, um die Anzahl der Themen in nicht eingeschränkten Kategorien anzuzeigen (CVE ausstehend)

Neue Funktionen

  • API-Bereiche für das Suspendieren von Benutzern, das Erstellen von Einladungen und die Suche hinzufügen
  • Bessere Unterstützung für TikTok Onebox hinzufügen
  • Administratoren erlauben, Revisionen dauerhaft zu löschen
  • Einstellung hinzufügen, die TL4-Benutzern das Löschen von Beiträgen erlaubt
  • TL4-Benutzern erlauben, nicht gelistete Themen anzuzeigen
  • Mehr Kontext in Discourse-zu-Discourse-Themen-Oneboxen anzeigen

Zusätzliche Funktionen und Korrekturen

Zum Erweitern klicken
  • Ändern des Slugs beim Erstellen eines Chat-Kanals erlauben
  • pg_force_readonly_mode GlobalSetting einführen
  • in:polls Filter zur Suche hinzufügen
  • Rake-Task hinzufügen, um alte Hashtag-Formate für erneutes Backen zu markieren
  • Signaturen von Webhook-E-Mails verifizieren
  • API-Bereich für Themenaktualisierungen erweitern, um Statusaktualisierungen zu ermöglichen
  • Cache für Weiterleitungs-Avatare auf 1 Tag erhöhen
  • Grundlegende Instrumentierung zur Verzögerungswarteschlange hinzufügen
  • Gruppenbesitzern erlauben, mehr Besitzer zu befördern

Fehlerbehebungen

  • lazy_yt_enabled beeinflusst die Engine nicht
  • Mit Beiträgen verknüpfte Reviewables automatisch löschen
  • Textauswahl bricht das Öffnen von Links in neuen Tabs
  • Keine leeren use/svg-Tags in ExcerptParser hinzufügen
  • E-Mail überspringen, wenn sie beim Synchronisieren von SSO-Attributen leer ist.
  • TL4-Benutzer wird beim Löschen eines Themas nicht zum neuesten weitergeleitet
  • Gelöschte Beiträge nicht für Upload-Referenzsicherheit zählen
  • Negative Abweichung zum Popper-Offset hinzufügen
  • data-popper-reference-hidden zu breit
  • Rand am Mini-Tag-Chooser korrigieren
  • Verhindert, dass msg-actions Hover-Text anzeigen
  • Automatischen Slug für gelöschte Kanäle generieren
  • TL4-Benutzer kann gelöschte Themen sehen
  • Modals auf Mobilgeräten scrollbar machen, wenn die Tastatur geöffnet ist
  • Nur für Mitarbeiter sichtbare Optionen nicht für Nicht-Mitarbeiter im Massenmenü der Gruppenmitglieder anzeigen
  • Mindest-Tag-Einstellung in den Tag-Bereich bei der Bearbeitung der Kategorie verschieben
  • Falsch konfigurierte einbettbare Hosts gelöscht
  • UploadReference in UploadSecurity für vorhandene Uploads abfragen
  • Host-Listen-Typ für Website-Einstellungen der E-Mail-Domäne ändern
  • Kanalnamen nicht überschreiben, wenn eine Kategorie ausgewählt ist
  • notify_mailing_list_subscribers enqueuen, wenn ein Beitrag wiederhergestellt wird
  • Wortlaut von Titel zu name in der Kanal-Info-Seite ändern
  • Neue Hashtag-Unterstützung für fortgeschrittene Narrative des Narrative-Bots
  • Wiederherstellen des class-property-Babel-Transforms für Themes
  • tags-Parameter von TopicQuery validieren
  • Discourse-Onebox-Tag-Symbol im Chat korrekt anzeigen
  • Falsche Migration der Hashtag-Einstellung korrigieren
  • Hashtags in Kanal-Archiv-PMs verwenden, falls verfügbar
  • Migration zum Neuindizieren ungültiger Indizes hinzufügen
  • Sicherstellen, dass die Extraktion von Umfragen nicht versucht wird, wenn der Beitragsinhalt fehlt
  • Benutzer-Sidebar-Attribute vorladen, wenn ?enable_sidebar=1
  • Gleichzeitige Aktualisierungen von top_topics verhindern
  • Ruby 2-kompatibler Plugin-Logout-Redirect
  • Flackertest beheben, der durch PostAlerter-Schlüsselwortargumente verursacht wird
  • Regression in der MessageBus-Nachrichtenreichweite von TopicTrackingState.
  • Fehlerberichterstattung und Fehlerfälle für die Kanalarchivierung verbessern

UX-Änderungen

  • Zusätzlichen Leerraum im Suchhelfer entfernen
  • Überlauf des Benutzerkartenstatus verhindern
  • Layout und Ausrichtung der Massenschaltflächen verbessern
  • Korrekturen und Anpassungen für die Benutzer-Navigation
  • Strafverlauf auf “sticky” setzen
  • Datum in der Zeitachse beim Umbruch ausblenden
  • Linken Rand entfernen
  • Rand zum Suchbegriff hinzufügen
  • Layout von Kategorie-Boxen von Flexbox auf Grid umstellen
  • Verhindern, dass der Text der Suchkontext-Schaltfläche umgebrochen wird
  • Fehlenden Abstand und andere kleinere Anpassungen der Suche hinzufügen
  • Felder für Chat-Kanäle neu anordnen
  • Zitat-/Freigabe-Popup neu gestalten, Hover-Jitter beheben
  • Ausrichtung des Tag-Symbols in der Discourse-Onebox refaktorisieren
  • Ausrichtungsprobleme mit Autovervollständigung beheben
  • Avatar in der Themenliste optimieren

Leistung

  • Beiträge nicht nach Erwähnungen parsen, wenn der Benutzerstatus deaktiviert ist
  • N+1-Abfragen beim Anzeigen von Tags

Barrierefreiheit

  • Discourse-Tags sollten eine Rolle und ein Label haben
  • aria-labels für Flagging-Textbereiche hinzufügen
  • Überschriften-Tags aus dem Benutzerprofil entfernen
  • Sekundären Skip-Link zu Benutzerprofilen hinzufügen
  • Beschreibendere Titel für Benutzerseiten
  • aria-tags zur neuen Benutzer-Navigation hinzufügen
13 „Gefällt mir“
2

Aber Moment mal, da gibt es noch mehr!

Wir tun unser Bestes, um neue Funktionen und Änderungen für Sie hervorzuheben, aber es gibt immer zu viele Änderungen, um sie alle zu beschreiben. Eine vollständige Liste neuer Funktionen, Fehlerbehebungen, UX-Verbesserungen und mehr finden Sie in den unten aufgeführten zusätzlichen Funktionen und Korrekturen.

Plugin-Verbesserungen

discourse-animated-avatars

Fehlerbehebungen
  • Standard-Benutzerserialisierer für animierte Avatare auf nil setzen

discourse-assign

Neue Funktionen
  • Zuweisungsauswahl automatisch öffnen
  • Benutzerstatus bei der Suche nach Zuweisungsempfängern anzeigen

discourse-calendar

Neue Funktionen
  • Minimale Option zu Ereignissen hinzufügen
Fehlerbehebungen
  • Das Ereignis wird nach der Erstellung nicht geladen
  • Fehlende Übersetzung für den Titel der Push-Benachrichtigung zur Ereigniserinnerung hinzufügen

discourse-characters-required

Fehlerbehebungen
  • Komponentenimport

discourse-code-review

Fehlerbehebungen
  • Diff mit dem ersten Commit zulassen
  • Irrelevante PR-Ereignisse überspringen

discourse-encrypt

Fehlerbehebungen
  • Kaputte Erwähnungssuche

discourse-prometheus-alert-receiver

Leistung
  • Abfrage von offenen/ausgelösten Alarmen entfernen, die clientseitig nicht mehr verwendet wird.

discourse-zendesk-plugin

UX-Änderungen
  • Namen und Beschreibungen von Einstellungen verbessern
7 „Gefällt mir“