Журнал изменений

Все значимые изменения в Gogs зафиксированы в этом файле.

0.14.0+dev (main)

Добавлено

• Поддержка использования TLS для провайдера сессий Redis с помощью [session] PROVIDER_CONFIG = ..., tls=true. #7860

Изменено

• Требуемая версия Go для сборки исходного кода изменена на 1.23.4.

Исправлено

• Неправильное отображение подмодулей, использующих протокол ssh:// и номер порта. #4941
• Отсутствие ссылки на профиль пользователя в первом коммите на странице истории коммитов. #7404

0.13.2

Исправлено- Безопасность: Обход ограничений путей при редактировании файла через пользовательский интерфейс (UI). GHSA-r7j8-5h9c-f6fx

• Безопасность: Обход ограничений путей при обновлении файла через API. GHSA-qf5v-rp47-55gg
• Безопасность: Внедрение аргументов в встроенный сервер SSH. GHSA-vm62-9jw3-c8w3
• Безопасность: Удаление внутренних файлов. GHSA-ccqv-43vm-4f3w
• Безопасность: Внедрение аргументов при предварительном просмотре изменений. GHSA-9pp6-wq8c-3w2c
• Безопасность: Внедрение аргументов при создании новых выпусков. GHSA-m27m-h5gj-wwmg
• Использование непредопределённого имени секции [email] во время установки для настроек электронной почты. #7704
• Использование непредопределённого имени секции [email] PASSWORD во время установки для пароля электронной почты. #7807
• Привязка цвета метки шаблона "purple" к фактическому шестнадцатеричному коду пурпурного цвета. #7722## 0.13.0### Добавлено
• Поддержка использования личного доступного токена в поле пароля. #3866
• Добавлена скрытая опция при создании или миграции репозитория. Скрытые репозитории являются публичными, но не отображаются пользователям без прямого доступа в интерфейсе. #5733
• Новый конечный пункт API PUT /repos/:owner/:repo/contents/:path для создания и обновления содержимого репозитория. #5967
• Новая конфигурационная опция [git.timeout] DIFF для настройки времени ожидания операции git diff. #6315
• Новая конфигурационная опция [server] SSH_SERVER_MACS для установки списка допустимых алгоритмов проверки целостности для соединений с встроенным сервером SSH. #6434
• Новая конфигурационная опция [repository] DEFAULT_BRANCH для установки имени по умолчанию для основной ветки новых репозиториев. #7291
• Новая конфигурационная опция [server] SSH_SERVER_ALGORITHMS для указания списка допустимых алгоритмов обмена ключами для соединений с встроенным сервером SSH. #7345
• Поддержка спецификации пользовательской схемы для PostgreSQL. #6695
• Поддержка отображения диаграмм Mermaid в Markdown. #6776
• Docker: Разрешение передачи дополнительных аргументов команде backup. #7060- Поддержка новых языков: монгольский, румынский. #6510 #7082

Изменено- Базовая ветка была изменена на main. #6285

• Поддержка MSSQL как базы данных отключена, страница установки больше не предлагает её как вариант. Уже установленные системы и вручную сконфигурированные файлы конфигурации продолжают работать. #6295
• Используется Task как инструмент сборки. #6297
• Требуемая версия Go для компиляции исходного кода теперь составляет 1.18.
• Токены доступа теперь хранятся с использованием их SHA256-хэшей вместо сырого значения. #7008

Исправлено

• Невозможность использования аутентификации LDAP на устройствах ARM. #6761

• Невозможность выбора "Поиск аватара по электронной почте" в настройках пользователя без удаления пользовательского аватара. #7267

• Ошибочное включение директории "data" в пользовательскую директорию в настройках Docker. #7343

• Невозможность запуска после восстановления данных при использовании устаревшей версии миграции. #7125### Удалено- ⚠️ Миграции до версии 0.12 удалены, установки, не использующие версию 0.12, должны обновиться до этой версии для выполнения миграций, а затем обновиться до версии 0.13.

• Раздел конфигурации [mailer] больше не используется, пожалуйста, используйте [email].

• Раздел конфигурации [service] больше не используется, пожалуйста, используйте [auth].

• Опция конфигурации APP_NAME больше не используется, пожалуйста, используйте BRAND_NAME.

• Опция конфигурации [security] REVERSE_PROXY_AUTHENTICATION_USER больше не используется, пожалуйста, используйте [auth] REVERSE_PROXY_AUTHENTICATION_HEADER.

• Опция конфигурации [auth] ACTIVE_CODE_LIVE_MINUTES больше не используется, пожалуйста, используйте [auth] ACTIVATE_CODE_LIVES.

• Опция конфигурации [auth] RESET_PASSWD_CODE_LIVE_MINUTES больше не используется, пожалуйста, используйте [auth] RESET_PASSWORD_CODE_LIVES.

• Опция конфигурации [auth] ENABLE_CAPTCHA больше не используется, пожалуйста, используйте [auth] ENABLE_REGISTRATION_CAPTCHA.

• Опция конфигурации [auth] ENABLE_NOTIFY_MAIL больше не используется, пожалуйста, используйте [user] ENABLE_EMAIL_NOTIFICATION.

• Опция конфигурации [auth] REGISTER_EMAIL_CONFIRM больше не используется, пожалуйста, используйте [auth] REQUIRE_EMAIL_CONFIRMATION.

• Опция конфигурации [session] GC_INTERVAL_TIME больше не используется, пожалуйста, используйте [session] GC_INTERVAL.

• Опция конфигурации [session] SESSION_LIFE_TIME больше не используется, пожалуйста, используйте [session] MAX_LIFE_TIME.- Опция конфигурации [server] ROOT_URL больше не используется, пожалуйста, используйте [server] EXTERNAL_URL.

• Опция конфигурации [server] LANDING_PAGE больше не используется, пожалуйста, используйте [server] LANDING_URL.

• Опция конфигурации [database] DB_TYPE больше не используется, пожалуйста, используйте [database] TYPE.

• Опция конфигурации [database] PASSWD больше не используется, пожалуйста, используйте [database] PASSWORD.

• Удалена возможность использования Makefile в качестве средства сборки. #6980## 0.12.11### Устранено

• Безопасность: Хранение XSS для назначаемых исполнителей задач. #7145

• Безопасность: Внедрение команд операционной системы в редакторе репозитория на системах с регистронезависимым сравнением путей файлов. #7030

• Невозможность отображения страниц репозитория с неявными подмодулями (например, get submodule "REDACTED": revision does not exist). #6436

0.12.10

Изменено

• Поддержка использования [security] LOCAL_NETWORK_ALLOWLIST = * для разрешения всех доменных имён хостов. #7111

Устранено

• Невозможность отправки вебхуков на локальные сетевые адреса после конфигурации [security] LOCAL_NETWORK_ALLOWLIST. #7074

0.12.9

Устранено

• Безопасность: Внедрение команд операционной системы в редакторе файла. #7000
• Безопасность: Очистка DisplayName в списке задач репозитория. #7009
• Безопасность: Обход ограничений пути к файлам в редакторе файла на Windows. #7001
• Безопасность: Обход ограничений пути к файлам в конечных точках HTTP Git. #7002
• Невозможность инициализации репозитория во время его создания на Windows. #6967
• Загадочные ошибки паники на Value not found for type *repo.HTTPContext. #6963## 0.12.8

Изменено

• Все пользователи (включая администраторов) должны использовать опцию конфигурации [security] LOCAL_NETWORK_ALLOWLIST, чтобы разрешить миграцию репозиториев и вебхуки для доступа к локальным сетевым адресам, что является запятой-разделенным списком доменных имён хостов. #6988

Устранено

• Безопасность: SSRF в вебхуке. #6901
• Безопасность: XSS в cookie. #6953
• Безопасность: Внедрение команд операционной системы при загрузке файлов. #6968
• Безопасность: Выполнение удалённых команд при редактировании файлов. #6555

0.12.7

Устранено

• Безопасность: Хранение XSS в задачах. #6919
• Недопустимый символ в ответном заголовке Access-Control-Allow-Credentials. #4983
• Загадочные ошибки ssh: overflow reading version string от встроенного сервера SSH. #6882

0.12.6

Устранено- Безопасность: Возможность удаленного выполнения команд при загрузке файла. #6833

• Регрессия: Невозможность миграции репозитория с других локальных систем хранения Git. Добавлена новая конфигурационная опция [security] LOCAL_NETWORK_ALLOWLIST, представляющая собой запятой-разделенный список доменных имён, к которым доступ явно разрешён в локальной сети. #6841
• Проблема медленной загрузки контейнеров Docker, использующих устройства NAS. #6554## 0.12.5

Устранено

• Безопасность: Возможное использование SSRF при миграции репозитория. #6754
• Безопасность: Недостаточная обработка авторизации через PAM. #6810

0.12.4

Устранено

• Безопасность: Возможное использование SSRF атакой через внедрение CRLF при миграции репозитория. #6413
• Регрессия: Восстановлено отображение умных ссылок на задачи. #6506
• Добавлен заголовок X-Frame-Options для предотвращения кликджекинга. #6409

0.12.3

Устранено

• Регрессия: При работе Gogs на Windows ошибки "pre-receive hook declined" больше не возникают ежедневно. #6316
• Автоматически созданные ссылки на коммиты теперь корректны. #6300
• Клиент Git LFS (версий ≥ OnClickListener 2.5.0) не мог загружать файлы с известным форматом (например, PNG, JPEG), так как сервер ожидал, что загружаемый файл будет иметь HTTP-заголовок Content-Type со значением application/octet-stream. Теперь сервер указывает клиенту LFS использовать всегда Content-Type: application/octet-stream.

0.12.2

Устранено- Регрессия: Страницы правильно отображаются при запросе ?go-get=1 для подкаталогов. #6314

• Регрессия: Подмодуль с относительным путём корректно связан. #6319
• Бэкап можно обрабатывать при использовании опции --target на Windows. #6339
• Коммиты, содержащие ключевые слова, которые выглядят как ссылка на задачу, больше не приводят к полной остановке отправки. #6289

0.12.1### Устранено

• Поле updated_at теперь правильно обновляется при обновлении задачи. #6209
• Устранена регрессия, которая создала столбец login_source.cfg с типом данных VARCHAR(255) вместо TEXT в MySQL. #6280

0.12.0

Добавлено

• Поддержка Git LFS, можно прочитать документацию как для пользователя, так и для администратора. #1322

• Возможность для администратора удалить наблюдателей из репозитория. #5803

• Использование HTTP-заголовка Last-Modified для сырых файлов. #5811

• Поддержка синтаксического выделения цветами для файлов кода SAS (например, .sas, .r, .tex, .yaml). #5856

• Возможность заполнять заголовок запроса на слияние шаблоном. #5901

• Возможность переопределять статические файлы в директории public/. Для использования обратитесь к документации. #5920

• Новый конечный пункт API GET /admin/teams/:teamid/members для получения списка участников команды. #5877

• Поддержка резервного копирования с политикой хранения для развертываний Docker. #6140### Изменено — Страница профиля организации была изменена для отображения максимум 12 членов. #5506

• Требуемая версия Go для компиляции исходного кода изменена на 1.14.

• Все активы теперь встроены в двоичный файл и служат из памяти по умолчанию. Установите [server] LOAD_ASSETS_FROM_DISK = true, чтобы загружать их с диска. #5920

• Версии приложения и Go были удалены из нижней части страницы и показываются только на административной панели управления.

• Билд-тэг для запуска как службы Windows был изменён с miniwinsvc на minwinsvc.

• Конфигурационный параметр APP_NAME устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать BRAND_NAME.

• Конфигурационный параметр [server] ROOT_URL устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [server] EXTERNAL_URL.

• Конфигурационный параметр [server] LANDING_PAGE устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [server] LANDING_URL.

• Конфигурационный параметр [database] DB_TYPE устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [database] TYPE.

• Конфигурационный параметр [database] PASSWD устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [database] PASSWORD.

• Конфигурационный параметр [security] REVERSE_PROXY_AUTHENTICATION_USER устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [auth] REVERSE_PROXY_AUTHENTICATION_HEADER.- Раздел конфигурации [mailer] устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [email].

• Раздел конфигурации [service] устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [auth].

• Конфигурационный параметр [auth] ACTIVE_CODE_LIVE_MINUTES устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [auth] ACTIVATE_CODE_LIVES.

• Конфигурационный параметр [auth] RESET_PASSWD_CODE_LIVE_MINUTES устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [auth] RESET_PASSWORD_CODE_LIVES.

• Конфигурационный параметр [auth] REGISTER_EMAIL_CONFIRM устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [auth] REQUIRE_EMAIL_CONFIRMATION.

• Конфигурационный параметр [auth] ENABLE_CAPTCHA устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [auth] ENABLE_REGISTRATION_CAPTCHA.

• Конфигурационный параметр [auth] ENABLE_NOTIFY_MAIL устарел и будет прекращен поддержка в версии 0.13.0, рекомендуется использовать [user] ENABLE_EMAIL_NOTIFICATION.

• Конфигурационный параметр [session] GC_INTERVAL_TIME устарел и поддержка будет прекращена в версии 0.13.0, пожалуйста, начните использовать [session] GC_INTERVAL.

• Конфигурационный параметр [session] SESSION_LIFE_TIME устарел и поддержка будет прекращена в версии 0.13.0, пожалуйста, начните использовать [session] MAX_LIFE_TIME.

• Имя - зарезервировано и не может использоваться для пользователей или организаций. ### Устранено- [Безопасность] Возможная открытая переадресация с использованием i18n.

• [Безопасность] Возможность удаления файлов за пределами репозитория.

• [Безопасность] Возможность установки основной электронной почты от имени других пользователей с помощью их верифицированных адресов.

• [Безопасность] Возможная атака типа XSS через .ipynb. #5170

• [Безопасность] Возможная атака типа SSRF через вебхуки. #5366

• [Безопасность] Возможная атака типа CSRF в админ-панели. #5367

• [Безопасность] Возможная хранящаяся атака типа XSS в некоторых браузерах. #5397

• [Безопасность] Возможная атака типа RCE на зеркальных репозиториях. #5767

• [Безопасность] Возможная атака типа XSS через API сырого markdown. #5907

• Изменение и переименование файла внутри одного коммита воспринимаются как отдельные файлы. #5056

• Невозможно восстановить резервную копию базы данных в MySQL 8.0 из-за синтаксической ошибки. #5602

• Открытие/закрытие майлстоунов перенаправляет на страницу 404. #5677

• Запрещено создание нескольких токенов с одинаковым названием. #5587 #5820

• Включение поиска федерированных аватаров может привести к падению сервера. #5848com/gogs/gogs/issues/5848)

• Приватные репозитории скрыты в представлении организации. #5869

• Пользователи, имеющие доступ к базовому репозиторию, не могут просматривать коммиты в форках. #5878

• Ошибка сервера при изменении адреса электронной почты на странице настроек пользователя. #5899

• Переход на использование RFC 3339 как временного шаблона при некорректной конфигурации. #6098

• Невозможно обновить команду из-за ошибки сервера. #6185

• Вебхуки не запускаются после отправки, если [service] REQUIRE_SIGNIN_VIEW = true.

• Файлы с одинаковым содержимым случайным образом отображаются как один из них. - Конфигурационный параметр [other] SHOW_FOOTER_VERSION

• Конфигурационный параметр [server] STATIC_ROOT_PATH

• Конфигурационный параметр [repository] MIRROR_QUEUE_LENGTH

• Конфигурационный параметр [repository] PULL_REQUEST_QUEUE_LENGTH

• Конфигурационный параметр [session] ENABLE_SET_COOKIE

• Конфигурационный параметр [release.attachment] PATH

• Конфигурационный параметр [webhook] QUEUE_LENGTH

• Тег сборки sqlite, что означает, что теперь требуется CGO. ---Старые журналы изменений можно найти на GitHub.