]> git.p6c8.net - jirafeau/jirafeau.git/blobdiff - CHANGELOG.md
git.p6c8.net / jirafeau / jirafeau.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
Jirafeau 4.7.1 is ready
[jirafeau/jirafeau.git] / CHANGELOG.md
diff --git a/CHANGELOG.md b/CHANGELOG.md
index 1dcf19c2110968bcd993c9c28c09fb9017d380cd..c687514260f7a45c49182f7d5326c9737ddc1163 100644 (file)
--- a/CHANGELOG.md
+++ b/CHANGELOG.md
@@ -12,14 +12,20 @@
 5. Follow the installation wizard, it should propose you the same data folder or even update automatically
 6. Check your `/lib/config.local.php` and compare it with the `/lib/config.original.php` to see if new configuration items are available. If a new item is missing in your `config.local.php`, this may trigger some errors as Jirafeau may expect to have them.
 
 5. Follow the installation wizard, it should propose you the same data folder or even update automatically
 6. Check your `/lib/config.local.php` and compare it with the `/lib/config.original.php` to see if new configuration items are available. If a new item is missing in your `config.local.php`, this may trigger some errors as Jirafeau may expect to have them.
 
-## Version 4.7.0 (not yet released)
+## Version 4.7.1
+
+- Fixed another possibility to bypass the checks for [CVE-2022-30110](https://www.cve.org/CVERecord?id=CVE-2022-30110), [CVE-2024-12326](https://www.cve.org/CVERecord?id=CVE-2024-12326) and [CVE-2025-7066](https://www.cve.org/CVERecord?id=CVE-2025-7066) (prevent preview of SVG images and other critical files) by sending a manipulated HTTP request with a MIME type like "image". When doing the preview, the browser tries to automatically detect the MIME type resulting in detecting SVG and possibly executing JavaScript code. To prevent this, MIME sniffing is disabled.
+- The default value of `max_upload_chunk_size_bytes` was set to `5000000`. Higher values could trigger a bug Chromium-based browsers on servers with HTTP/3 enabled, causing asynchronous uploads to fail.
+- Docker image: Updated PHP to 8.3 and removed `mime-types.conf` from `lighttpd.conf`
+- Upgrade from 4.7.0: in-place upgrade, you also should set `max_upload_chunk_size_bytes` to `5000000` in your `config.local.php`!
+
+## Version 4.7.0
 
 - Added feature for using shortened download links. This requires a web server that supports URL rewriting, like Apache with `mod_rewrite`.
 - Added CSS class `tos` for addressing the link to the "Terms of Service" page
 - Download stats introduced in version 4.6.0 were accidentally removed in version 4.6.1. This feature is now available again.
 - Generated download passwords were not shown after the upload was completed
 - Uploading a file using `script.php` with an upload password set always ended up in an "Error 2". This is fixed now.
 
 - Added feature for using shortened download links. This requires a web server that supports URL rewriting, like Apache with `mod_rewrite`.
 - Added CSS class `tos` for addressing the link to the "Terms of Service" page
 - Download stats introduced in version 4.6.0 were accidentally removed in version 4.6.1. This feature is now available again.
 - Generated download passwords were not shown after the upload was completed
 - Uploading a file using `script.php` with an upload password set always ended up in an "Error 2". This is fixed now.
-- ...
 - Upgrade from 4.6.3: in-place upgrade
 
 New configuration items:
 - Upgrade from 4.6.3: in-place upgrade
 
 New configuration items:
Fork of Jirafeau by a group of developers after mojo42 discontinued it; main repository at https://gitlab.com/jirafeau/Jirafeau

patrick-canterino.de