[MediaWiki-annous]MediaWiki 1.19.0测试版2

3月22日2012

我很高兴地宣布新的MediaWiki 1.19发布系列。请尝试一下，让我们知道你的想法。不要在任何设备上运行除非你们都很勇敢对您的MediaWiki管理技能非常有信心。MediaWiki 1.19是一个大型版本，包含许多新功能和错误修复。这是对用户感兴趣的主要变化的总结。您可以参考RELEASE-NOTES-1.19文件以获取完整的更改列表在此版本中。发现了五个安全问题。发现该api具有跨站点请求伪造（CSRF）阻塞/解锁模块中存在漏洞。用户可以使用具有阻止或取消阻止其他用户权限的帐户提供令牌。有关更多详细信息，请参阅https://bugzilla.wikimedia.org/show_bug.cgi？id=34212人们发现资源加载程序可能会泄露某些类型的私有信息跨域源边界的数据，通过将数据作为可执行文件提供JavaScript文件。在MediaWiki 1.18及更高版本中，这包括CSRF公司保护令牌。比如说，这允许对维基用户帐户进行泄露通过更改用户的电子邮件地址，然后请求重置密码。有关更多详细信息，请参阅https://bugzilla.wikimedia.org/show_bug.cgi？id=34907Jan Schejbal的Hatforce.com网站发现了跨站点请求伪造（CSRF）Special:Upload中的漏洞。现代浏览器（至少早在2010年12月）能够在无需用户交互的情况下发布文件上传，违反了MediaWiki中以前的安全假设。根据wiki的配置，此漏洞可能导致进一步的妥协，尤其是在私有wiki上，其中允许的文件类型集是比公共维基更广泛。请注意，CSRF允许对wiki进行妥协从一个外部网站，即使wiki位于防火墙后面。有关更多详细信息，请参阅https://bugzilla.wikimedia.org/show_bug.cgi？id=35317George Argyros和Aggelos Kiayias报告称，用于生成密码重置令牌不够安全。相反，我们使用各种更多安全的随机数生成器，取决于平台。强烈建议Windows用户安装opensslPHP的扩展名或mcrypt扩展名，以便MediaWiki可以优势Windows提供的加密随机数工具。任何使用mt_rand（）在中生成随机数的扩展开发人员上下文在需要安全性的地方，鼓励使用此版本引入了MWCryptRand类。有关更多详细信息，请参阅https://bugzilla.wikimedia.org/show_bug.cgi？id=35078wikitext解析器中发现了一个长期存在的错误（错误22555）有安全影响。有了流行的CharInsert扩展，它导致跨站点脚本（XSS）。XSS可能与其他扩展甚至可能仅MediaWiki核心，尽管这在这次。还可能发生拒绝服务攻击（无限循环）无论配置如何。有关更多详细信息，请参阅https://bugzilla.wikimedia.org/show_bug.cgi？id=35315*********************************************************************有什么新功能？*********************************************************************MediaWiki 1.19提供了常见的各种错误修复和新功能。发布说明中提供了新功能的全面列表。*将MySQL版本要求提升至5.0.2。*禁用Math的部分HTML和MathML呈现选项，并默认渲染为PNG。*MathML模式太不完善了，大多数人认为它根本不起作用。*皮肤可以使用新的皮肤/common/*.css文件，而无需复制成堆的MonoBook或Vector的css中的通用样式。*默认用户签名现在除了包含用户链接。*在块日志中搜索被阻止的用户名现在更清晰了。*更好地识别用户首选项中的时区。*扩展现在可以参与从URL路径提取标题。*命令行安装程序更好地支持各种RDBMS。*interwiki链接表现在也可以在interwiki隐藏物使用（在API和Interwiki扩展中使用）。国际化- --------------------*更多性别支持（例如在用户列表中）。*添加语言：加拿大英语。*改进了语言转换器，例如，它现在可以根据页面工作内容语言。*时间和数字格式的神奇单词现在也取决于页面内容语言。*1.18之后，双向支撑进一步增强。发行说明- -------------完整发行说明：https://gerrit.wikimedia.org/r/gitweb？p=mediawiki/core.git；a=blob_plain；f=RE租赁通知-1.19；hb=1.19.0β2https://www.mediawiki.org/wiki/Release_notes/1.19与这些安全发布相结合，MediaWiki源代码存储库具有从SVN移出（在https://svn.wikimedia.org/viewvc/mediawiki/trunk/phase3)到Git(https://gerrit.wikimedia.org/gitweb/mediawiki/core.git). 所以相关的这些版本的提交不会出现在我们的SVN存储库中。如果你使用MediaWiki的SVN签出用于版本控制，您需要将其迁移到吉特。如果您正在使用tarballs，则在以下过程中不应有任何更改你。请注意，任何部署WMF的扩展也已迁移到Git此外，还有一些其他非WMF维护的。请耐心等待，此版本的一些Git相关链接可能不会立即工作，但以后应该会。要进行简单的Git克隆，命令是：git克隆https://gerrit.wikimedia.org/r/p/mediawiki/core.git更多信息请访问https://www.mediawiki.org/wiki/Git有关更多帮助，请访问上的#mediawiki IRC频道免费节点.net
irc://irc.greenode.net/mediawiki或发送电子邮件至MediaWiki-l邮件列表网址：mediawiki-l（a）lists.wikimedia.org。**********************************************************************下载：http://download.wikimedia.org/mediawiki/1.19/mediawiki-1.19.0beta2.tar.gz修补到以前版本（1.19.0beta1），无界面文本：http://download.wikimedia.org/mediawiki/1.19/mediawiki-1.19.0beta2.patch.gz界面文本更改：http://download.wikimedia.org/mediawiki/1.19/mediawiki-i18n-1.19.0beta2.patch.gz格式GPG签名：http://download.wikimedia.org/mediawiki/1.19/mediawiki-1.19.0beta2.tar.gz.si克http://download.wikimedia.org/mediawiki/1.19/mediawiki-1.19.0beta2.patch.gz.信号发生器http://download.wikimedia.org/mediawiki/1.19/mediawiki-i18n-1.19.0beta2.patch.gz.sig格式公钥：https://secure.wikimedia.org/keys.html

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

[MediaWiki-annous]MediaWiki 1.19.0测试版2