article 23w03a | event 2023年1月15日

edit history refresh

navigate_before 23w02a | 23w03a | 23w04a navigate_next

欢迎来到茶馆周报。

本周的周报内容并不多，但这也许并不意味着上周没发生什么事情，只是因为主笔Kissshot Acerolaorion Heartunderblade马上就要考试了，没什么收集新闻的工夫，于是周报后面两周可能又会面临休刊。如果你在接下来的两周里发现他在忙着写周报和发版，请提醒他不要摸鱼，赶快去复习难得要死的有机化学。

本周快照

Java版

本周未发布快照版本，但Mojira上更新了一些漏洞修复，目前Future Update下修复的漏洞已积累至约30个。

基岩版

本周发布了测试版1.19.60.26，修改了拉杆的音效，其余内容仍然以修复漏洞为主。

存档计划相关

纪念Jonathon Fernyhough

2023年1月12日，Arch Linux官网发表讣告（[archlinuxcn]社区的简体中文翻译），缅怀突然于周六（2023年1月7日）夜间辞世的Jonathon Fernyhough，其在社区中的用户名为jonathon。

Jonathon曾活跃地参与和贡献了Arch Linux及数个派生发行版、AUR和其个人仓库。其热情、乐于助人的精神和其实在的积极贡献促进了整个自由开源软件社区的发展。

发布者Morten Linderud代表Arch Linux社区向他的家人和朋友表示哀悼。站长Lakejason0作为Arch Linux用户，在此也代表存档计划和Lake桑的存档馆编者团队表示哀悼。

扩展更新

新一批MediaWiki扩展与皮肤安全修补现已安装完毕。

本次本站更新的扩展有MobileFrontend、CheckUser和Widgets，修复了以下问题：

CheckUser

• T311337, CVE-2022-39193 - 操作者被监督隐藏（suppressed）的编辑仍会在CheckUser返回的结果中显示操作者
• T316414, CVE-2022-39193 - Special:Investigate可能在查核结果中暴露监督隐藏的信息
• T318166, CVE-2022-39193 - CheckUser的API会暴露被监督隐藏的操作者
• T315123, CVE-2023-22945 - CheckUser的TokenManager不安全地使用具有重复随机数的AES-CTR加密，允许攻击者解密

MobileFrontend

• T320987, CVE-2023-22909 - MobileFrontend历史页面的数据库查询极慢

Widgets

• T149488, CVE-2023-22911 - Widgets在HTML的attributes中也会执行微件替换，存在潜在的XSS风险

你知道吗

• 在模板页末尾插入{{subst:doc}}然后保存，可以放置{{documentation}}和一条建议编辑者在何处放置类别和interwiki链接的注释。
  • 这条注释的内容为：“请将分类/语言链接放在文档页面”。但中文Minecraft Wiki的许多模板底部的注释内容为：“在文档页放置分类/语言链接”。这可能是因为从英文wiki搬运内容时直接翻译了英文注释，而没有使用{{subst:doc}}。
• 在模板文档页中插入{{subst:doc}}然后保存，可以对文档页进行预格式化；在模板页点击被嵌入的文档右上方的“创建”按钮也可以实现相同效果。

其他

• 截至本周周报发版日（2023年1月15日），距动作冒险游戏《塞尔达传说 王国之泪》发售还有117天，距类银河战士恶魔城游戏《空洞骑士：丝之歌》发售最多还有148天。

评论