Você pode encontrar informações completas sobre a atualização no fórum KVS: KVS 5.5 .1 atualização.
O problema de segurança relacionado ao upload remoto de URL foi corrigido nesta atualização. Felizmente, esta violação só poderia ser explorada num conjunto limitado de condições:
- Em projetos onde o Apache não foi instalado e, portanto, a camada de segurança adicional foi desativada. Para tais projetos, é necessário configurar o Nginx para impedir o acesso a diretórios graváveis publicamente.
- Em projetos onde os arquivos KVS foram instalados no mesmo usuário do sistema operacional que o Apache estava em execução.
Estendemos a verificação de segurança de auditoria para relatar esses problemas de configuração como erros (anteriormente eram relatados como avisos), portanto, após a atualização, certifique-se de executar a instalação + verificação de segurança no plugin de auditoria e certifique-se de não haver nenhum erro lá.
Se não quiser atualizar para 5.5.1, você pode aplicar o patch de segurança em cima do 5.5.0 ou pode proibir o upload de URL para público em Configurações -> Configurações de conteúdo (opção Upload de URL). Se sua versão for muito antiga e não permitir desabilitar o upload de URL nas configurações, é altamente recomendável atualizar, caso contrário seu projeto pode ficar vulnerável.
Outras melhorias:
- Exportação de feeds otimizados em termos de uso de memória e geração de saída para permitir a geração de maior conjunto de dados sem paginação.
- A importação de feeds agora suporta paginação automática, para que possam ser configurados para consultar dados com salto automático de N vídeos das solicitações anteriores para importar todos os vídeos disponíveis do feed paginado.
- Os canais agora também suportam sinônimos.
- A lista negra de IP nas configurações anti-spam agora suportará melhor endereços IPv6 e máscaras de 2º nível (11.22.*). Anteriormente, apenas máscaras de 3º nível (11.22.33.*) eram suportadas.
- O plugin DigiRegs foi finalizado com base em testes reais e está finalmente pronto para uso.
- Em grabbers agora você pode usar dois pontos como parte do texto de substituição, mas precisa ser especificado como dois pontos duplos (::). Além disso, as substituições de texto agora suportam correspondências parciais.
- Nas configurações de estatísticas, adicionamos um resumo de quanto espaço em disco é utilizado para armazenar determinados tipos de estatísticas. Em alguns casos, com estatísticas específicas ativadas, isso pode levar GBs. O procedimento de limpeza de estatísticas agora também limpará o espaço de tabela do banco de dados.
- Em vídeos relacionados agora é possível usar o plugin de Pesquisa Externa para gerar vídeos relacionados, por exemplo, usar um servidor Sphinx externo para isso.
- Em list_members_events adicionamos a capacidade de mostrar eventos de assinaturas de usuários (semelhante a mostrar eventos de amigos de usuários).
Bugs que foram corrigidos:
- [CRÍTICO] Problema de segurança, veja acima.
- [MÉDIO] Em alguns casos, os grabbers poderiam criar tarefas de importação que não processariam todos os vídeos ou álbuns.
- A versão [MEDIUM] 5.5.0 não permitia a inclusão de alguns scripts de troca de tráfego devido a conflitos de nomenclatura de funções.
- [BAIXO] Opção que proibia tags com caracteres específicos não funcionava corretamente com caracteres não latinos.
- [BAIXO] Não era possível recriar capturas de tela para vídeos incorporados, mesmo que o URL do vídeo fosse fornecido.
- [BAIXO] O player não mostrou pontos de sinalização em dispositivos móveis.
- [BAIXO] O player não renderizou legendas após mudar para outra qualidade de vídeo.
- [BAIXO] Imagens WebP animadas não eram suportadas como capturas de tela e fotos carregadas manualmente.
- [BAIXO] KVS não permitia a criação de capturas de tela da linha do tempo para vídeos com mais de 4 horas.
- [BAIXO] Vários problemas de desempenho no painel de administração quando há uma grande quantidade de vídeos.
- [LOW] A alteração do intervalo do rotador não foi realmente aplicada.
- [LOW] Em alguns casos, a renomeação da tag não adicionou o nome antigo da tag como sinônimo.
- [BAIXO] Em alguns casos, a exclusão de capturas de tela de vídeo pode resultar em capturas de tela parcialmente quebradas.