Ja, es wird das aufwendigste Update. Wir haben ja seid 2.0.17 ein Team von Sicherheitsspezialisten ins Boot geholt die uns beim finden und beheben von Sicherheitslücken helfen (da wir manchmal auch nicht alles wissen können). Es wurde eine Menge präventiv gefixt, eine Menge Bugs wurden beseitigt und die Session/autologin Keys von Olympus wurden in 2.0.x eingebunden.

Das Avatar-Problem haben wir so gelöst das wir explizit auf den mime-typen prüfen. Wenn dieser mit der File-extension übereinstimmt und das Bild zudem größer 0 Byte ist (ein reines Script hat bei getimagesize immer 0 byte - das haben wir aber schon seid 2.0.17 drin gehabt) dann lassen wir es durch.

Was IMG-Tags und Links allgemein angeht haben wir noch keine Lösung gefunden, das Logout-Problem (also mit einem Bild einen logout zu produzieren) wurde auch gelöst indem wir explizit auf die session id (wie beim Moderator-Panel z.B.) prüfen. Das wird wahrscheinlich bei einigen 'Invalid_Session'-Fehler verursachen (AOL-Proxies)...


edit: Momentan testen wir 2.0.18 team-intern, von unserer audit-group und von dem internationalen supportern, sowie package maintainern (debian, gentoo...). Es wurden beim testen noch einige Dinge gefunden und ich hoffe mit dem Release spätestens in einer Woche.