本家Mastodonのバージョン
※セキュリティインシデントの改善 - カスタム絵文字データの改竄が行える脆弱性を改善しています。この問題は今年2月時点で存在したものと思われます。早急にアップデートを行ってください
追加
変更
修正
- CVSS 5.3 - 相乗りスタンプを悪用して、カスタム絵文字データの改竄が可能である問題
- #153 ブーストが1つでもあると投稿のエクスポート時にエラーが出る問題
- #169 他のサーバー同士のスタンプでemoji_reaction_policyが適用される問題
- #172 他のサーバーからつけられた相乗りスタンプが削除できない問題
アップデート手順
アップデート手順を参照してください
重要な変更の存在するバージョン
作業が必要になる最終バージョン
bundle install | yarn install | db:migrate | precompile |
---|---|---|---|
5.0 | 5.0 | 5.4 | 5.4 |
その他
tootctl cache clear
- 3.1 (optional)tootctl search deploy --only statuses public_statuses
- 5.0。ElasticSearchを使ってる人限定。必要に応じて--full true
を追加- PostgreSQLで
UPDATE custom_emojis SET image_remote_url = NULL, uri = NULL WHERE domain IS NULL
を実行 - 5.7 (optional)- 5.6以前のバージョンからkmyblueを使っており他のkmyblueやFedibirdと連合し、かつ相乗りスタンプを受けたことのあるサーバーは実行をお勧めしますが、実行しなくてもごく一部のカスタム絵文字が表示されなくなるだけであり害はありません。自己責任でお願いします
サーバー再起動が必要になる最終バージョン
web
とsidekiq
は毎回必ず起動してくださいstreaming
- 5.4