Mastodon v4.3.4版本发布：安全修复与功能优化

Mastodon是一个开源的分布式社交网络平台，采用ActivityPub协议实现不同实例间的互联互通。作为Twitter的替代方案之一，Mastodon以其去中心化的架构和用户自治的特点获得了广泛关注。2025年2月27日，Mastodon团队发布了v4.3.4版本，这是一个包含重要安全修复的维护性更新。

安全更新

本次版本最值得关注的是多个安全问题的修复：

1. HTML净化机制改进：移除了不可用且未使用的embed标签，防止潜在的跨站脚本攻击。这一修复对应CVE编号GHSA-mq2m-hr29-8gqf。

2. 注册验证邮件限速机制：修复了注册验证邮件发送的速率限制问题，防止潜在的滥用行为，对应CVE编号GHSA-v39f-c9jj-8w7h。

3. 域屏蔽信息泄露修复：解决了未验证用户可能查看域屏蔽信息的问题，对应CVE编号GHSA-94h4-fj37-c825。

这些安全修复建议所有运行Mastodon实例的管理员尽快升级，特别是公开实例的管理者。

功能改进

除了安全修复外，v4.3.4版本还包含了一些功能优化：

1. 内容警告展开显示：现在当用户展开包含内容警告的帖子时，预览卡片也会一同显示，改善了用户体验。

2. 加密密钥警告增强：对修改加密密钥的警告信息进行了视觉强化，使管理员更容易注意到这一关键操作。

3. 设置脚本优化：mastodon:setup脚本现在会防止意外覆盖已配置的服务器设置。

4. 通知过滤规则调整：来自版主的通知现在不会被过滤系统拦截，确保重要管理通知能够送达。

问题修复

版本修复了多个影响稳定性和功能的问题：

1. 通知API修复：解决了未分组通知在特定API端点无法正确处理的问题。

2. 媒体处理优化：修复了某些系统上libvips版本兼容性问题，改进了图像处理稳定性。

3. 时间线生成效率：优化了时间线生成的算法，提高了系统响应速度。

4. 投票验证：现在编辑帖子时会正确验证投票选项的有效性。

5. 远程账户标签同步：修复了远程账户的特色标签不能及时更新的问题。

升级指南

对于运行v4.3.3版本的用户，升级步骤相对简单：

非Docker环境

1. 安装依赖：bundle install
2. 预编译资源：RAILS_ENV=production bundle exec rails assets:precompile
3. 重启所有Mastodon进程

Docker环境

直接重启所有容器即可完成升级。

重要提示：升级前务必备份数据库。对于docker-compose用户，可以使用类似命令：docker exec mastodon_db_1 pg_dump -Fc -U postgres postgres > backup.dump

兼容性说明

v4.3.4版本保持了与之前版本相同的依赖要求：

• Ruby 3.1+
• PostgreSQL 12+（注意：PostgreSQL 14.0-14.3因数据损坏问题不受支持）
• Elasticsearch 7.x（或兼容的OpenSearch）
• Redis 4+
• Node.js 18+
• 图像处理：ImageMagick 6.9.7-7+或libvips 8.13+

对于使用夜间构建(nightly build)的用户，不应直接使用此版本，而应更新至nightly.2025-02-28-security或更高版本。

这个版本的发布体现了Mastodon团队对安全性和稳定性的持续关注，建议所有实例管理员尽快安排升级，以确保用户数据安全和系统稳定运行。