Основная информация по обновлению содержится на форуме: KVS 5.5.1 update.
Исправлена проблема безопасности в логике загрузки файлов через URL-ы. К счастью, эта проблема могла эксплуатироваться только в некоторых отдельных случаях:
- На проектах, где не был установлен Apache и не срабатывал дополнительный уровень защиты. Для таких проектов необходимо внести в конфигурацию nginx правила защиты директорий, которые доступны для публичной записи.
- На проектах, где системные файлы KVS были установлены под тем же пользователем, от которого работает веб сервер.
Мы также расширили аудит безопасности, чтобы данные проблемы отображались как ошибки (раньше они отображались как предупреждения). После обновления вам необходимо обязательно запустить аудит инсталляции и безопасности в плагине аудита системы, и убедиться что там нет никаких ошибок.
Если вы не хотите обновляться до 5.5.1, вы можете установить отдельный патч безопасности, или вы можете оставить выключенным возможность публичной загрузки файлов через URL в настройках контента (опция Загрузка файлов с URL-а). Если ваша версия настолько старая, что этой опции нет - мы настоятельно советуем вам обновиться, в противном случае ваш проект может оказаться под угрозой.
Другие изменения:
- С фидами экспорта проведены оптимизации, которые теперь позволяют генерить большие объемы данных без использования пагинации.
- Фиды импорта теперь могут поддерживать получение контента через пагинацию, без необходимости вручную делать это при создании фида. Для этого в настройки фида импорта добавлена соотв. опция.
- Каналы теперь поддерживают синонимы.
- Улучшена работа черного списка IP в настройках Антиспама: теперь он будет лучше поддерживать IPv6 адреса, а также будет поддерживать маски второго уровня (11.22.*). Раньше там можно было использовать только маски третьего уровня (11.22.33.*).
- Финальная версия плагина DigiRegs после месяцев тестирования на реальных проектах, теперь он готов к использованию.
- В грабберах в настройках автозамены теперь можно использовать двоеточия как часть заменяемого текста, для этого необходимо указывать их как двойные двоеточия (::). Также заменяемый текст теперь поддерживает частичное соответствие.
- В настройках статистики мы вывели информацию о том, как много места на диске занимают данные той или иной статистики. В некоторых случаях статистика может занимать гигабайты. Также процедура очистки статистики теперь будет оптимизировать очищаемые таблицы для высвобождения дискового пространства.
- Появилась возможность использовать плагин внешнего поиска для генерации похожих видео.
- В блоке list_members_events добавилась возможность вывести события по подпискам пользователя, как, например, сейчас есть возможность вывести события друзей пользователя.
Исправлены следующие баги:
- [КРИТИЧНО] Уязвимость безопасности (см. описание выше).
- [СРЕДНЕ] В некоторых случаях грабберы могли создавать задачи импорта, которые обрабатывались только частично.
- [СРЕДНЕ] Версия 5.5.0 не позволяла подключать некоторые скрипты обмена трафиком из-за конфликта именования функций.
- [МЕЛОЧЬ] Настройка, которая запрещала добавлять тэги с указанными символами, не поддерживала кириллицу.
- [МЕЛОЧЬ] Нельзя было пересоздать скриншоты embed видео, даже если у них были указаны ссылки на видеофайлы.
- [МЕЛОЧЬ] Плеер не отображал cuepoint-ы на мобильных устройствах.
- [МЕЛОЧЬ] Плеер не включал субтитры после переключения качества видео.
- [МЕЛОЧЬ] Анимированные WebP не поддерживались как скриншоты видео или фотографии альбомов.
- [МЕЛОЧЬ] KVS не позволял создавать таймлайновые скриншоты для видео длиннее 4 часов.
- [МЕЛОЧЬ] Исправлены некоторые тормоза в админке для проектов с большим числом видео.
- [МЕЛОЧЬ] Изменение интервала работы ротатора не применялось в реальности.
- [МЕЛОЧЬ] В некоторых случаях переименование тэга могло не добавлять старый тэг как синоним нового.
- [МЕЛОЧЬ] В некоторых случаях удаление скриншотов видео могло приводить к частично битым скриншотам.