next-l/enju_leaf: Next-L Enju 1.3.5

Next-L Enju Leaf 1.3.5をリリースしました。

このリリースでは、重大なセキュリティの問題の修正を行っています。1.3.4以前をお使いの方は、必ず1.3.5にアップデートしてください。

• 1.3.4以前のSRUインターフェースとOpenURLインターフェースには、資料の「参照に必要な権限」の設定が無視され、「参照に必要な権限」がAdministratorになっていても非ログイン状態で検索結果一覧に表示される問題が存在します。このため、公開を意図していない資料が、検索結果に表示される可能性があります。 この問題の対処として、SRUインターフェースを削除し(https://github.com/next-l/enju_biblio/pull/13) 、OpenURLインターフェースでは「参照に必要な権限」がGuestとなっている資料のみを検索結果一覧に表示する(https://github.com/next-l/enju_biblio/commit/9865c645a975bbc667b3a8a9bef3cf5cd667131d) ようにしました。 https://github.com/next-l/enju_leaf/issues/1532
• 1.3.4以前の所蔵情報におけるJSON形式のレスポンス(例: https://enju.example.jp/items.json, https://enju.example.jp/items/12345.json)には、Librarian権限以上の権限を必要とする項目がそのまま出力される問題が存在します。このため、公開を意図していない項目が公開される可能性があります。 具体的には以下の項目になります。
  • price (受入価格)
  • use_restriction_id (利用制限)
  • required_role_id (参照に必要な権限)
  • budget_type_id (予算)
  • bookstore_type_id (書店)

この問題の対策として、ログイン時の権限にかかわらず、上記の項目を所蔵情報のJSON形式のレスポンスから削除しました。 https://github.com/next-l/enju_leaf/issues/1537

機能追加や不具合修正の一覧は、以下をごらんください。 https://github.com/next-l/enju_leaf/milestone/35?closed=1

なお、1.3系の開発は基本的に終了し、今後の開発は2.0系に移行します。 2.0系では、主に以下の点について変更を行う予定です。

• 画面デザインをBootstrapに移行
• サポートするデータベースをPostgreSQLのみの変更
• 多言語表示の仕様の変更

Updateのページを参照してください。