Zulip Server 4.8 发布了。Zulip 是一个强大的开源群组聊天软件,采用 Python 编写,使用 Django 框架,支持通过会话流的私人消息和群聊。Zulip 还支持快速搜索、拖放文件上传、图像预览、组私人消息、可听通知、错过电子邮件消息提醒与桌面应用等。
具体更新内容包括:
- CVE-2021-43791:Zulip 可能无法在确认密钥上强制执行过期日期,从而允许用户可能使用过期邀请、自行注册或领域创建链接。
- 默认情况下,开始安装 Smokescreen 以强化 Zulip 抵御 SSRF 攻击。Zulip 从 Zulip 4.0 开始提供 Smokescreen 作为选项。
- 用 go-camo 替换了 camo 图像代理,这是一个经过维护的重新实现,也可以防止 SSRF 攻击。当该服务器作为独立部署的一部分进行部署时,它现在仅监听 127.0.0.1。
- 开始对 URL previews 中显示的图像使用 camo。这提高了隐私并解决了以下问题:指向具有过期或其他无效 SSL 证书的第三方服务器的图像链接会触发 Zulip Desktop 用户的混乱弹出窗口。
- 修复了一个错误,该错误可能导致 Tornado 在重新启动负载过重的 Zulip 服务器时不正确地关闭(导致其客户端立即重新加载整页)。
- 更新了 Python 依赖项。
- 截断大型“remove”移动通知事件,以便将数百条私人消息或其他通知消息一次性标记为已读,不会超过 Apple 的 4 KB 通知大小限制。
- Slack importer 改进:
- 确保为 Slack 机器人生成的虚假电子邮件地址是唯一的。
- 添加了对从目录导入 Slack 导出文件的支持,而不仅仅是 .zip 文件。
- 使用无效的 Slack 令牌提供更好的错误消息。
- 在 Windows 上添加了对 non-ASCII Unicode 文件夹名称的支持。
- 添加对 V3 Pagerduty webhook 的支持。
- 更新了 Apache SSO 的文档,现在Zulip使用C扩展(re2模块),需要额外的配置。
- 修复了 SAML 响应中的空名称会引发错误的错误。
- 确保
deliver_scheduled_emails和deliver_scheduled_messages在同时运行于多个服务器时不会被重复发送。
- 扩展的 Certbot 故障排除文档。
- 修复了 soft deactivation catch-up code 中的一个错误,在这种情况下,一个 race condition 会在审计日志中为一个用户和一个数据流创建多个订阅停用条目。
- 更新翻译,包括添加僧伽罗语翻译。
更新说明:https://github.com/zulip/zulip/releases/tag/4.8
