요약 내용
보안 릴리즈
BookStack v24.05.4가 출시되었습니다.
이번 릴리즈는 LDAP 그룹 동기화에 발견된 문제를 해결하기 위한 것으로, 특정 시나리오에서 사용자가 잘못된 추가 역할에 매칭될 수 있는 문제와 “book-show” API 응답에서 콘텐츠 표시가 적절하게 적용되지 않는 문제를 해결합니다.
LDAP 인증이 그룹 동기화와 함께 사용되거나 REST API를 사용하여 책 내용을 가져오는 경우, 업그레이드를 강력히 권장합니다. (“books-read” 엔드포인트)
API 취약점을 보고해준 Linus Nagel과 WorkSimple GmbH 팀에게 감사드립니다.
변경 사항 전체 목록
- 일관된 매개변수 유형으로 API 문서 업데이트. (#5183)
- 기본 콘텐츠 iframe 임베드 최대 너비를 다른 콘텐츠 유형과 일치하도록 업데이트. (#5130)
- LDAP 그룹 동기화를 전체 DN을 통해 쿼리하도록 업데이트.
- 최신 Crowdin 변경 사항으로 번역 업데이트. (#5118)
- 책 읽기 API 응답이 장 콘텐츠에 가시성 제어가 적용되지 않는 문제 해결.
- API 문서 사용자 응답에 추가 속성이 표시되는 문제 해결. (#5178)
- dev 도커 설정을 사용할 때 데이터베이스 오류 수정. (#5124)
- 태스크리스트 체크박스의 RTL 디스플레이 문제 해결. (#5134)
원문 내용
Security Release
BookStack v24.05.4 has been released.
This is a security release to address issues found in LDAP group syncing, where in certain scenarios a user could be matched to extra roles incorrectly, and an issue with content visibility in “book-show” API responses which would not have permissions applied properly.
Upgrade is strongly advised for instances where LDAP authentication is used with group syncing, or where the REST API is used to fetch contents of books (“books-read” endpoint).
Thanks to Linus Nagel and their team at WorkSimple GmbH for reporting this API vulnerability.
Full List of Changes
- Updated API docs with consistent parameter types. (#5183)
- Updated default content iframe embed max-width to align with other content types. (#5130)
- Updated LDAP group sync to query via full DN.
- Updated translations with latest Crowdin changes. (#5118)
- Fixed books read API response not applying visibility control to chapter contents.
- Fixed API docs users response showing extra property. (#5178)
- Fixed database error thrown when using out dev docker setup. (#5124)
- Fixed RTL display issues with tasklist checkboxes. (#5134)
링크 : https://github.com/BookStackApp/BookStack/releases/tag/v24.05.4