Löydät täydelliset tiedot päivityksestä KVS-foorumilta: KVS 5.5 .1-päivitys.
URL-osoitteen etälataukseen liittyvä tietoturvaongelma korjattiin tässä päivityksessä. Onneksi tätä rikkomusta voitiin hyödyntää vain rajoitetuissa olosuhteissa:
- Projekteissa, joissa Apachea ei asennettu, ja siten ylimääräinen suojauskerros poistettiin käytöstä. Tällaisissa projekteissa Nginx on määritettävä estämään pääsy julkisesti kirjoitettaviin hakemistoihin.
- Projekteissa, joissa KVS-tiedostot asennettiin samalle käyttöjärjestelmäkäyttäjälle kuin Apache oli käynnissä.
Laajensimme tarkastuksen tietoturvatarkistuksen raportoimaan nämä konfigurointiongelmat virheinä (aiemmin ilmoitettiin varoituksina), joten päivityksen jälkeen muista suorittaa asennus + suojaustarkistus auditointilaajennuksessa ja varmistaa, ettei siinä ole virheitä.
Jos et halua päivittää versioon 5.5.1, voit asentaa tietoturvakorjauksen 5.5.0:n päälle tai estää URL-osoitteen lataamisen julkisesti kohdassa Asetukset -> Sisältöasetukset (Lataa URL-osoitteesta -vaihtoehto). Jos versiosi on hyvin vanha eikä salli URL-latauksen poistamista käytöstä asetuksista, on erittäin suositeltavaa päivittää, muuten projektisi voi olla haavoittuvainen.
Muita parannuksia:
- Syötteiden vienti, joka on optimoitu muistin käytön ja tulosteen luomisen suhteen, jotta voidaan luoda suurempi tietojoukko ilman sivutusta.
- Tuovat syötteet tukevat nyt automaattista sivutusta, joten ne voidaan määrittää hakemaan tietoja ohittaen automaattisesti N videota aiemmista pyynnöistä tuoda kaikki saatavilla oleva video sivutusta syötteestä.
- Kanavat tukevat nyt myös synonyymejä.
- Roskapostin eston asetusten IP-mustalista tukee nyt paremmin IPv6-osoitteita ja 2. tason maskeja (11.22.*). Aiemmin vain 3. tason maskeja (11.22.33.*) tuettiin.
- DigiRegs-laajennus valmistui todellisen testauksen perusteella ja on vihdoin käyttövalmis.
- Grabbersissa voit nyt käyttää kaksoispisteitä osana korvaustekstiä, mutta se on määritettävä kaksoispisteenä (::). Myös tekstin korvaukset tukevat nyt osittaisia osumia.
- Lisäsimme tilastoasetuksiin yhteenvedon siitä, kuinka paljon levytilaa käytetään tietyntyyppisten tilastojen tallentamiseen. Joissakin tapauksissa, kun tietyt tilastot ovat käytössä, tämä voi kestää Gt. Tilastojen puhdistusmenettely puhdistaa nyt myös tietokannan taulukkotilan.
- Aiheeseen liittyvissä videoissa on nyt mahdollista käyttää External Search -laajennusta aiheeseen liittyvien videoiden luomiseen, esimerkiksi käyttää siihen ulkoista Sphinx-palvelinta.
- List_members_events -kohtaan lisäsimme mahdollisuuden näyttää käyttäjien tilausten tapahtumia (samanlainen kuin käyttäjän ystävien tapahtumien näyttäminen).
Korjatut bugit:
- [KRIITTINEN] Tietoturvaongelma, katso yllä.
- [KESKIPÄINEN] Joissakin tapauksissa sieppaajat voivat luoda tuontitehtäviä, jotka eivät käsittele kaikkia videoita tai albumeita.
- [MEDIUM] 5.5.0-versio ei voinut sallia joidenkin liikenteen kaupan skriptien sisällyttämistä toimintojen nimeämisristiriidan vuoksi.
- [LOW] Vaihtoehto, joka kieltää tiettyjä merkkejä sisältävät tunnisteet eivät toimineet oikein muiden kuin latinalaisten merkkien kanssa.
- [LOW] Kuvakaappauksia ei voitu luoda uudelleen upotetuille videoille, vaikka videon URL-osoite olisi annettu.
- [LOW] Soitin ei näyttänyt vihjepisteitä mobiililaitteissa.
- [LOW] Soitin ei renderöinyt tekstityksiä vaihdettuaan toiseen videolaatuun.
- [LOW] Animoituja WebP-kuvia ei tuettu manuaalisesti ladatuina kuvakaappauksina ja valokuvina.
- [LOW] KVS ei sallinut aikajanan kuvakaappausten luomista yli 4 tunnin pituisille videoille.
- [LOW] Useita suorituskykyongelmia hallintapaneelissa, kun videoita on valtava.
- [LOW] Rotaattorin intervallin muutosta ei todellisuudessa sovellettu.
- [LOW] Joissakin tapauksissa tagin uudelleennimeäminen ei lisännyt vanhaa tagin nimeä synonyymina.
- [LOW] Joissakin tapauksissa videon kuvakaappausten poistaminen voi johtaa osittain rikkinäisiin kuvakaappauksiin.