uuWAF/CHANGELOG.md at 3cb5792c79904db2840a1c3cbeefe5afb9a59d18 - uuWAF - https://git.xinac.net

11 KiB

Raw Blame History Unescape Escape

6.0.0 (2024-11-01)

功能更新

新增多用户权限隔离功能，操作员只能管理自己创建的站点和规则
CDN加速功能支持自动匹配站点管理中的通配符站点
南墙管理后台TLSv1.2不再支持3DES，提升传输安全性
支持在管理后台系统信息中查看收费版授权到期时间

5.5.0 (2024-10-22)

功能更新

优化数据脱敏代码逻辑，提升处理效率
用户管理禁止删除自己，防止误删后无法登录
禁止修改规则时修改处理阶段，防止规则不生效
优化安装脚本，进一步提升Linux系统兼容性

5.4.0 (2024-09-29)

功能更新

升级配置同步机制，提升性能并降低数据库资源消耗
升级XSS语义检测引擎，进一步降低误报
升级ip地理位置数据库，提升位置准确性
调整日志默认查询数量，大幅提升日志高级查询速度
上传文件名过滤增强，新增htmlentity解码
新增log.utf8、log.getReq等多个api函数
优化安装脚本，提升Linux系统兼容性

5.3.0 (2024-08-29)

功能更新

新增http返回内容替换功能waf.replaceFilter，可以用于数据脱敏或敏感词替换等场景
新增waf.rgxGmatch、waf.rgxSub、waf.rgxGsub、waf.errLog正则匹配替换和错误日志记录函数
优化部分代码，进一步提升南墙过滤处理性能

5.2.0 (2024-08-08)

功能更新

新增负载均衡有多台上游服务器时，一台上游出现故障时会自动请求下一上游服务器
南墙自动申请并托管的免费证书，加入中间证书链，避免某些证书监控软件提示
去掉旧TLSv1 TLSv1.1的兼容，现在默认只支持TLSv1.2 TLSv1.3，提升SSL传输安全性

问题修复

修复部分规则在特殊情况下的报错问题
升级docker管理脚本和compose文件解决卸载不干净和南墙服务先于数据库启动的问题

5.1.1 (2024-07-30)

问题修复

修复密码错误5次，锁定时间到期后不能解锁的问题

5.1.0 (2024-07-26)

功能更新

新增ip威胁情报功能并开源威胁情报插件
管理员修改普通用户不再需要旧密码和otp
新增删除默认admin账号安全提示
系统信息页界面优化调整

5.0.0 (2024-07-24)

功能更新

新增密码复杂度和过期安全策略，过等保三级
新增负载均衡平滑加权轮询SWRR模式
升级机器学习引擎，不再依赖python
升级语义检测引擎，检测更多攻击

4.5.0 (2024-06-16)

功能更新

优化精简规则，BlazeHTTP防护效果测试对比登顶No.1
升级语义检测引擎
优化UI界面展示
支持对返回类型为Transfer-Encoding: chunked的body内容过滤

4.4.1 (2024-06-04)

功能更新

优化UI界面展示
调整waf.block函数和持续攻击封禁功能，观察模式时不再拦截
优化waf_stats更新语句
新增按国家、地区进行ip拦截的高级规则

问题修复

修复获取ipv6地理位置时产生系统报错日志问题
解决某些负载均衡设备X-Forwarded-For不规范，导致的不能正确获取ip的问题

4.3.0 (2024-04-28)

功能更新

新增系统备份的备份恢复功能
优化sql、xss、rce、lfi规则
优化南墙过滤引擎和性能

问题修复

升级cjson依赖库，解决CVE-2022-24834漏洞
修复若干内存泄露问题

4.2.0 (2024-04-22)

功能更新

日志显示页面UI美化
对未在南墙站点管理中配置的域名访问返回拦截页面
对无值参数值为true调整为空字符串
进一步优化南墙处理性能

问题修复

修复gzip页面解压失败，导致返回页面过滤失败的问题
ACME免费证书申请不再处理ip类证书申请

4.1.0 (2024-04-16)

功能更新

插件功能新增SSL处理阶段，并将原各阶段函数细分为pre、post前后两个小阶段
新增日志刷新按钮
优化固件升级判断逻辑

4.0.1 (2024-04-10)

功能更新

新增免费SSL证书自动申请和续期功能
优化登录过期提示
优化并发数据库查询

问题修复

修复开启缓存后Range头不能传到后端引起的视频播放不能快进的问题
修复规则管理中返回HTTP头、返回页面阶段自定义普通规则不生效的问题

3.3.3 (2024-03-27)

功能更新

新增一键升级功能，便于固件版本升级
新增检测循环代理，避免127.0.0.1等死循环
新增默认开启gzip压缩功能
升级ip地理位置库，位置更加精准
新增waf.ip2loc函数用于将ip转换为地理位置，便于按地理位置封锁ip
自定义拦截页面限定为html类型

问题修复

修复机器人检测规则默认频率过小的问题
修复管理后台打开侧边栏固定后，页面不能显示的问题

3.0.1 (2024-01-27)

功能更新

语义引擎升级至2.0，增强检测能力并支持相关api设置检测严格等级
升级过滤引擎，支持对不常见或异常的content-type自定义是否拦截
新增从自定义请求头中获取访客真实ip，方便多层代理时获取客户端ip
大幅优化多项南墙安全过滤规则，减少误报和提升检出率

问题修复

修复南墙管理后台在数据渲染失败时图表弹出的getContext错误提示

2.8.0 (2024-01-11)

新增功能

升级南墙滑动旋转验证码功能，解决被CDN缓存或IP变动引起的不能显示或验证失败问题
主机版支持openEuler华为欧拉系统和国内几大云操作系统安装
优化默认数据库连接数，避免日志写入频繁时导致的数据库连接数不够用问题

Bug 修复

解决南墙主机版某些系统数据库安装失败的问题

2.7.0 (2024-01-05)

新增功能

高级规则采用沙箱保护，阻止执行恶意规则
新增多个api变量和函数
升级多条高级规则
升级多个组件版本，如：nginx版本v1.24、OpenSSL版本v1.1.1w

Bug 修复

修复南墙api函数waf.pmMatch匹配失效的问题
修复不同时区日期显示问题

2.6.1 (2023-09-04)

新增功能

支持*域名代表所有域名，简化所有网站位于相同服务器的配置
优化南墙语义检测引擎检测逻辑
优化南墙安装和Docker管理脚本，对异常进行处理

2.6.0 (2023-08-26)

新增功能

南墙安全验证X-Waf-Token 支持js读取
增强南墙语义检测引擎
Docker版支持一键更新升级

Bug 修复

修复南墙语义检测引擎在某些情况下core dump的问题

2.5.1 (2023-07-04)

新增功能

新增查看攻击日志请求报文功能
优化tls传输兼容性，支持TLS v1
优化sql注入和命令执行语义引擎
优化系统备份功能

2.4.1 (2023-05-30)

新增功能

新增系统配置备份功能
新增一键解封被封禁的ip功能
新增南墙安全验证X-Waf-Token head头验证功能

Bug 修复

修复使用waf.block函数后产生系统报错日志的问题
解决部分XSS检测误报的问题
解决Docker版南墙在某些系统出现Unix syslog delivery error错误不能运行的问题

2.3.0 (2023-04-28)

新增功能

新增CDN缓存加速功能，支持业内首创的高灵活度正则匹配任意条件实时缓存清理功能。

2.2.0 (2023-03-22)

新增功能

新增滑动旋转验证码功能，可用于各种拦截机器人攻击，如网络爬虫、业务风控、cc拒绝服务攻击等
新增安全日志、审计日志报表功能，可将日志导出为Excel报表
新增并优化多个安全规则，包括机器人攻击防御、http重定向https等
优化WAF配置，减少内存占用
优化WAF管理后台界面功能展示

Bug 修复

修复某些网站返回http头过大导致的502、504问题
修复某些网站非utf-8编码且未设置Content-Type头导致网页乱码的问题

2.1.5 (2022-12-31)

Bug 修复

修复某些情况下弱口令匹配不生效的问题
使用安装包进行安装时，对不支持的操作系统进行提示，如ubuntu或debian

新增变更

支持text/plain类型的POST请求和返回内容的安全过滤处理
支持UTF-8编码正则匹配
提升WAF性能，默认不再过滤base64内容，可以单独定义规则来支持

2.1.2 (2022-11-11)

Bug 修复

修复日志管理功能Url过长时，日志显示不全的问题
修复在selinux开启时，WAF服务进程不能正常启动的问题

新增变更

增强默认安装初始化数据库密码、JWT密钥安全性，随机化生成
升级OpenSSL组件到最新1.1.1s版

1.9.3 (2022-10-10)

Bug 修复

修复删除日志时，时间格式识别错误的问题
修复没有安全日志时，首页显示提示错误的问题

新增功能

支持更多RedHat系操作系统，如CentOS、AlmaLinux、Anolis、Rocky Linux等
增强安装稳定性和性能，数据库升级到8.x版本

1.9.0 (2022-09-22)

Bug 修复

无

新增功能

支持WAF扩展插件