Vous pouvez trouver des informations complètes sur la mise à jour sur le forum KVS : KVS 5.5 .1 mise à jour.
Le problème de sécurité lié au téléchargement d'URL à distance a été résolu dans cette mise à jour. Heureusement, cette faille ne pouvait être exploitée que dans un ensemble limité de conditions :
- Sur les projets sur lesquels Apache n'était pas installé, et donc une couche de sécurité supplémentaire a été désactivée. Pour de tels projets, il est nécessaire de configurer Nginx pour empêcher l'accès aux répertoires accessibles en écriture publique.
- Sur les projets dans lesquels les fichiers KVS ont été installés sous le même utilisateur du système d'exploitation que celui utilisé par Apache.
Nous avons étendu le contrôle de sécurité d'audit pour signaler ces problèmes de configuration sous forme d'erreurs (auparavant, ils étaient signalés sous forme d'avertissements). Par conséquent, après la mise à jour, assurez-vous d'exécuter l'installation + le contrôle de sécurité dans le plugin d'audit et assurez-vous qu'il n'y a aucune erreur.
Si vous ne souhaitez pas mettre à jour vers la version 5.5.1, vous pouvez appliquer le correctif de sécurité par-dessus la version 5.5.0, ou vous pouvez interdire le téléchargement d'URL pour le public dans Paramètres -> Paramètres de contenu (option Télécharger à partir d'une URL). Si votre version est très ancienne et ne permet pas de désactiver le téléchargement d'URL dans les paramètres, il est fortement recommandé de la mettre à jour, sinon votre projet pourrait être vulnérable.
Autres améliorations :
- Exportation de flux optimisés en termes d'utilisation de la mémoire et de génération de sortie pour permettre de générer un plus grand ensemble de données sans pagination.
- L'importation de flux prend désormais en charge la pagination automatique. Ils peuvent donc être configurés pour interroger les données en sautant automatiquement N vidéos des demandes précédentes afin d'importer toutes les vidéos disponibles à partir du flux paginé.
- Les chaînes prennent désormais également en charge les synonymes.
- La liste noire IP dans les paramètres Anti-spam prendra désormais mieux en charge les adresses IPv6 et les masques de 2ème niveau (11.22.*). Auparavant, seuls les masques de 3ème niveau (11.22.33.*) étaient pris en charge.
- Le plugin DigiRegs a été finalisé sur la base de tests réels et est enfin prêt à être utilisé.
- Dans les grabbers, vous pouvez désormais utiliser des deux-points dans le cadre du texte de remplacement, mais ils doivent être spécifiés sous forme de doubles deux-points (::). De plus, les remplacements de texte prennent désormais en charge les correspondances partielles.
- Dans les paramètres de statistiques, nous avons ajouté un résumé de la quantité d'espace disque utilisée pour stocker un type particulier de statistiques. Dans certains cas, avec des statistiques spécifiques activées, cela peut prendre des Go. La procédure de nettoyage des statistiques nettoiera désormais également l'espace table de la base de données.
- Dans les vidéos associées, il est désormais possible d'utiliser le plugin de recherche externe pour générer des vidéos associées, par exemple pour utiliser un serveur Sphinx externe pour cela.
- Dans list_members_events, nous avons ajouté la possibilité d'afficher les événements des abonnements des utilisateurs (similaire à l'affichage des événements des amis de l'utilisateur).
Bugs qui ont été corrigés :
- [CRITIQUE] Problème de sécurité, voir ci-dessus.
- [MEDIUM] Dans certains cas, les grabbers pouvaient créer des tâches d'importation qui ne traiteraient pas toutes les vidéos ou tous les albums.
- La version [MEDIUM] 5.5.0 ne permettait pas d'inclure certains scripts d'échange de trafic en raison d'un conflit de nom de fonction.
- [FAIBLE] L'option qui interdisait les balises avec des caractères spécifiques ne fonctionnait pas correctement avec les caractères non latins.
- [FAIBLE] La recréation de captures d'écran n'était pas possible pour les vidéos intégrées, même si l'URL de la vidéo était fournie.
- [FAIBLE] Le joueur n'affichait pas les points de repère sur les appareils mobiles.
- [FAIBLE] Le lecteur n'a pas rendu les sous-titres après être passé à une autre qualité vidéo.
- [FAIBLE] Les images WebP animées n'étaient pas prises en charge en tant que captures d'écran et photos téléchargées manuellement.
- [FAIBLE] KVS ne permettait pas de créer des captures d'écran de la chronologie pour les vidéos de plus de 4 heures.
- [FAIBLE] Plusieurs problèmes de performances dans le panneau d'administration lors d'une énorme quantité de vidéos.
- [FAIBLE] Le changement d'intervalle des rotateurs n'a pas été réellement appliqué.
- [FAIBLE] Dans certains cas, le renommage de la balise n'ajoutait pas l'ancien nom de la balise comme synonyme.
- [FAIBLE] Dans certains cas, la suppression de captures d'écran vidéo peut entraîner des captures d'écran partiellement cassées.