Release-Kandidat für HedgeDoc 1.8.0 mit Verbesserungen und Security-Fix

Di, 27. April 2021, Marco

Gestern gegen den späten Abend wurde der erste Release-Kandidat für die HedgeDoc-Version 1.8.0 veröffentlicht. Die neue Version kommt mit unterschiedlichen Verbesserungen und schliesst eine Sicherheitslücke. Mit HedgeDoc können kollaborativ Notizen in Markdown erstellt werden. Neben der Funktion, dass gemeinsam Notizen geschrieben werden können, können auch gemeinsam Präsentationen in Markdown erstellt werden wie dieses Beispiel zeigt.

In der neuen Version wird der Support für Node.js in der Version 10 eingestellt, da diese Ende April End-Of-Life sein wird. Neu sollte HedgeDoc mindestens mit der Version 12 von Node.js betrieben werden. Die Entwicklerinnen empfehlen allerdings die Nutzung der letzten LTS-Version von Node.js. Dies ist die Version 14, welche unter dem Codenamen Fermium veröffentlicht wurde und erst am 30. April 2023 den EOL-Status erhält. Bei diesem Release-Kandidaten wurde ausserdem eine Sicherheitslücke geschlossen, welche dazu führt, dass ein Angreifer irgendwelche Markdown-Dateien auf dem Server auslesen kann, da keine ausreichende Input-Validierung vorgenommen wurde. Sämtliche Versionen vor 1.8.0 sollen gemäss dem Advisory verwundbar sein. Administratoren sollten also möglichst schnell auf die neue Version aktualisieren. Falls dies nicht sofort möglich ist, so wird im Advisory ein Workaround vorgestellt. In der Version 1.8.0 gibt es unter anderem noch folgende Änderungen:

  • Datenbankmigrationen werden nun automatisch beim Start der Anwendung angewendet.
  • Neu gibt es einen Prometheus-Endpunkt unter /metrics, welcher zusätzlich zu den Statistiken des /status-Endpunkts noch Performance-Metriken von Node.js bereitstellt.
  • Bereitstellung einer Konfigurationsoption, die FreeURL-Modus nur für authentifizierte Nutzer möglich machte.

Neben den genannten Änderungen wurde noch unterschiedliche Fehler ausgemerzt und Verbesserungen vorgenommen. Ausserdem wurde die Anwendung neu in mehreren zusätzlichen Sprachen übersetzt sowie vorhandene Übersetzungen aktualisiert. Sämtliche Änderungen können in den Release-Notes genau nachgelesen werden.

Anmerkung: Vielen Dank an Molly, einer der Entwickler von HedgeDoc, für den Hinweis, dass ich die Konfigurationsoption für den FreeURL-Modus falsch verstanden habe!

Quellen: