Correção de vulnerabilidades
Vulnerabilidades gerais ▪Bloqueada a inclusão de arquivos PHP arbitrários, enviados via upload para a pasta de arquivos temporários da aplicação, como se fossem arquivos válidos do sistema. Em outras palavras, corrigida uma vulnerabilidade de Local File Inclusion que poderia levar a Remote Code Execution de códigos PHP. ▪Corrigida a vulnerabilidade "CSV Formula Injection" na exportação para Excel das telas de consulta. ▪Melhorias com base em boas práticas de segurança (segurança por obscuridade). ▪Removido o source map de códigos Javascript, os quais facilitavam o entendimento da lógica do frontend da aplicação. ▪Ofuscado o código Javascript da tela de login para dificultar ainda mais o entendimento da lógica do frontend nesta tela por ela ser pública (possibilidade de ser acessada por um usuário não autenticado) e por conter lógicas sensíveis como, por exemplo, para a recuperação de senha do usuário. ▪Renomeadas funções Javascript que expunham o nome das tecnologias do backend para dificultar a descoberta de quais tecnologias são utilizadas na aplicação e quais recursos usam determinada tecnologia. |
Melhoria no contraste do texto nos campos desabilitados
Em algumas telas, o texto dos campos desabilitados estava com um tom de cinza inadequado, pois provia baixo contraste e dificultava a leitura do conteúdo.
A partir desta versão mudamos essa cor para um tom mais escuro, aumentando o contraste e a legibilidade do texto nos campos desabilitados.
Ocultada opção antiga da confirmação de contrassenha
O novo parâmetro para "Solicitar contrassenha do usuário ao realizar operações críticas no sistema" foi criado na versão 2.1.3 para substituir o parâmetro antigo que só exigia a confirmação de contrassenha para abrir a tela das tarefas, mas, ambas opções continuaram existindo desde então, para que houvesse tempo hábil para a adaptação de quem estava migrando da opção antiga para a nova.
Passado este tempo de adaptação, agora o objetivo é tornar a opção antiga obsoleta e, por isso, a partir desta versão, ela somente permanecerá disponível nos ambientes em que já estiver habilitada. Caso contrário, apenas a opção nova será exibida, não sendo mais permitido habilitar a opção antiga.
E num futuro próximo, a opção antiga será totalmente descontinuada e parará de funcionar, então recomenda-se que caso ainda a utilize que já planeje a migração para a nova opção criada na versão 2.1.3.
Autenticação oAuth no servidor de e-mail SMTP
Para estar em conformidade com os servidores SMTP do mercado e providenciar maior segurança nas conexões, estamos disponibilizando o método de autenticação oAuth no cadastro dos servidores de e-mail.
Atualização do serviço de indexação - ElasticSearch
Tendo em vista a melhora constante do serviço de busca, estamos atualizando o serviço de indexação ElasticSearch para a versão 7.10.
Esta versão traz algumas melhoras de performance e uma solução para alguns arquivos que ocasionalmente geravam erro ao serem indexados.
Evitar problemas de estouro de bytes por linha nas entidades dinâmicas
Foi realizada uma melhoria para reduzir a quantidade máxima de atributos e referências para evitar problemas de estouro de bytes por linha nas entidades dinâmicas.
Desativação de usuários genéricos
Por questões de segurança, alguns usuários com logins genéricos e que utilizavam palavras reservadas foram desabilitados e tiveram sua habilitação bloqueada.
Em versões anteriores, já havíamos bloqueado a criação de tais usuários. Exemplos de usuários bloqueados: softexpert, sesuite.
End of life
Temos um calendário para deixar de dar suporte para os seguintes requisitos:
▪Oracle 12 (todas as versões): 2.1.9 - Outubro 2022
▪Windows Server 2008 R2: 2.1.10 - Dezembro 2022
▪Windows Server 2012 (todas as versões): Abril 2023
▪SQL Server 2012 (todas as versões): Abril 2023
Versões anteriores
Consulte também as melhorias realizadas neste componente em versões anteriores:
