Ви можете знайти повну інформацію про оновлення на форумі KVS: KVS 5.5 .1 оновлення.
У цьому оновленні виправлено проблему безпеки, пов’язану з віддаленим завантаженням URL-адреси. На щастя, це порушення можна використати лише в обмеженому наборі умов:
- У проектах, де Apache не було встановлено, і, таким чином, був деактивований додатковий рівень безпеки. Для таких проектів потрібно налаштувати Nginx, щоб заборонити доступ до загальнодоступних каталогів для запису.
- У проектах, де файли KVS були встановлені під тим самим користувачем ОС, що й Apache.
Ми розширили перевірку безпеки аудиту, щоб повідомляти про ці проблеми конфігурації як про помилки (раніше повідомлялося як попередження), тому після оновлення обов’язково запустіть установку та перевірку безпеки в плагіні аудиту та переконайтеся, що у вас немає помилок.
Якщо ви не хочете оновлюватися до версії 5.5.1, ви можете застосувати патч безпеки поверх версії 5.5.0 або заборонити завантаження URL-адреси для загального доступу в меню «Налаштування» -> «Налаштування вмісту» (параметр «Завантажити з URL-адреси»). Якщо ваша версія дуже стара і не дозволяє вимкнути завантаження URL-адреси в налаштуваннях, настійно рекомендуємо оновити, інакше ваш проект може бути вразливим.
Інші вдосконалення:
- Експорт каналів, оптимізованих з точки зору використання пам’яті та створення вихідних даних, щоб дозволити генерувати більший набір даних без розбиття на сторінки.
- Імпорт каналів тепер підтримує автоматичне розбиття на сторінки, тож їх можна налаштувати для запиту даних із автоматичним пропуском N відео з попередніх запитів, щоб імпортувати все доступне відео з розбитого на сторінки каналу.
- Канали тепер також підтримують синоніми.
- Чорний список IP-адрес у налаштуваннях захисту від спаму тепер краще підтримуватиме IPv6-адреси та маски 2-го рівня (11.22.*). Раніше підтримувалися лише маски 3-го рівня (11.22.33.*).
- Плагін DigiRegs був завершений на основі тестування в реальному світі та нарешті готовий до використання.
- У захоплювачах тепер можна використовувати двокрапки як частину тексту заміни, але його потрібно вказати як подвійну двокрапку (::). Також заміни тексту тепер підтримують часткові збіги.
- У налаштуваннях статистики ми додали зведення про те, скільки дискового простору використовується для зберігання певного типу статистики. У деяких випадках із увімкненою певною статистикою це може зайняти ГБ. Процедура очищення статистики тепер також очищатиме табличний простір бази даних.
- У пов’язаних відео тепер можна використовувати плагін зовнішнього пошуку для створення пов’язаних відео, наприклад, використовувати для цього зовнішній сервер Sphinx.
- У list_members_events ми додали можливість показувати події підписок користувача (подібно до показу подій друзів користувача).
Помилки, які були виправлені:
- [КРИТИЧНО] Проблема безпеки, див. вище.
- [СЕРЕДНІЙ] У деяких випадках граббери можуть створювати завдання імпорту, які не оброблятимуть усі відео чи альбоми.
- [СЕРЕДНЯ] Версія 5.5.0 не дозволяла включати деякі скрипти торгівлі трафіком через конфлікт іменування функцій.
- [НИЗЬКИЙ] Параметр, який забороняв теги з певними символами, не працював належним чином з нелатинськими символами.
- [НИЗЬКИЙ] Повторне створення знімків екрана неможливе для вбудованих відео, навіть якщо було надано URL-адресу відео.
- [НИЗЬКИЙ] Програвач не показував ключові точки на мобільних пристроях.
- [НИЗЬКИЙ] Програвач не відтворював субтитри після перемикання на іншу якість відео.
- [НИЗЬКИЙ] Анімовані зображення WebP не підтримувалися як знімки екрана та фотографії, завантажені вручну.
- [НИЗЬКИЙ] KVS не дозволяв створювати скріншоти шкали часу для відео тривалістю понад 4 години.
- [НИЗЬКИЙ] Деякі проблеми з продуктивністю в панелі адміністратора, коли велика кількість відео.
- [НИЗЬКИЙ] Зміна інтервалу ротатора фактично не застосовувалася.
- [НИЗЬКИЙ] У деяких випадках перейменування тегу не додавало стару назву тегу як синонім.
- [НИЗЬКИЙ] У деяких випадках видалення скріншотів відео може призвести до частково зламаних скріншотів.