요약 내용
보안 수정 사항
이번 릴리스에 대한 몇 가지 보완된 보안 사항이 있습니다. 우리는 조직이 검증되지 않거나 쿼리에서 사용되지 않았기 때문에 모든 조직에서 어떤 관리자도 그룹을 편집할 수 있었다는 사실을 발견했습니다. 이는 다른 조직의 관리자가 그룹의 uuid를 알고 있다면 해당 조직에서 그룹을 수정하거나 삭제할 수 있는 가능성이 있습니다.
우리는 사람들이 이 위험을 완화하기 위해 빠르게 업데이트하는 것을 권장합니다.
변경된 사항
- @tessus에 의한 지원 문자열에서 _smtp_img_src를 마스킹하는 기능 추가됨(#5281)
- @BlackDex에 의한 몇 가지 리팩터링, 최적화 및 보안 수정 사항이 포함됨(#5291)
- @BlackDex에 의한 connect-src 항목 추가 허용됨(#5293)
- @BlackDex에 의한 패치 대신 업데이트된 fern 사용(#5298)
전체 변경 로그: 1.32.6...1.32.7
원문 내용
Security Fixes
We have yet a few other security fixes for this release. We discovered that groups were able to be edited by any admin from any organization because the organization was not validated or used within the query. This could potentially allow an admin from other organizations to modify, or delete groups from any organization if they know the uuid of the group.
We suggest people to update a.s.a.p. to mitigate this risk.
What’s Changed
- feat: mask _smtp_img_src in support string by @tessus in #5281
- Some refactoring, optimizations and security fixes by @BlackDex in #5291
- Allow adding connect-src entries by @BlackDex in #5293
- Use updated fern instead of patch by @BlackDex in #5298
Full Changelog: 1.32.6...1.32.7
링크 : https://github.com/dani-garcia/vaultwarden/releases/tag/1.32.7