关键漏洞信息 安全更新 (SECURITY) 审计子系统: - 不再允许通过API创建新的设备,除非设置 。在v2.4.0版本中将添加对基于配置的审计设备定义的支持。 - 添加服务器配置选项以禁用通过API创建审计挂载和禁用审计日志前缀。相关CVE: CVE-2025-6000, CVE-2025-54997。 身份验证/LDAP: - 更改实体格式以规范化空白字符和大小写敏感性,当设置 参数时生效。 TOTP代码: - 必须是精确的N位数字,不能包含前导或尾随空白字符,否则将被API拒绝。 其他安全修复 auth/mfa: 正确限制TOTP代码在登录MFA强制执行期间的重用。相关CVE: CVE-2025-6015, CVE-2025-55003。 auth/userpass: 防止用户密码方法中的时间基础泄漏。相关CVE: CVE-2025-6011, CVE-2025-54999。 core/auth: 正确处理别名查找以保持用户锁定一致性。相关CVE: CVE-2025-6004, CVE-2025-54998。 core/identity: 正确小写策略名称以防止根策略分配。相关CVE: CVE-2025-5999, CVE-2025-54996。 改进和错误修复 更新Go版本至1.24.6。 修复删除命名空间时忽略缺失挂载的问题。 添加模板服务器的回退机制。 修复命名空间删除操作中的竞争条件。 修复命名空间故障转移、启动时缺少现有策略的问题。 修复命名空间访问器赋值中的意外小写问题。