Merge pull request #2972 from bunkerity/dev

Merge branch "dev" into branch "staging"

Author: TheophileDiot

.github/workflows/rc.yml

@@ -170,7 +170,11 @@ jobs:
         run: echo "version=$(cat src/VERSION | tr -d '\n')" >> "$GITHUB_OUTPUT"
       - name: Get VERSION (for RPM based)
         id: getversionrpm
-        run: echo "versionrpm=$(cat src/VERSION | tr -d '\n' | sed 's/-/_/g')" >> "$GITHUB_OUTPUT"
+        run: |
+          VERSION="$(tr -d '\n' < src/VERSION)"
+          # Fedora packaging: use ~ for RC so GA release wins the RPM sort order
+          RPM_VERSION="$(echo "$VERSION" | sed -E 's/-([Rr][Cc][0-9]*)/~\1/' | sed 's/-/_/g')"
+          echo "versionrpm=${RPM_VERSION}" >> "$GITHUB_OUTPUT"
 
   # Push Docker images
   push-images:

CHANGELOG.md

@@ -12,12 +12,19 @@
 - [FEATURE] Enhance the Antibot plugin to better handle redirection back to the original request path after a successful challenge by checking the `Referer` header, ensuring users are redirected to meaningful content rather than static files or other unintended destinations
 - [BUGFIX] Fix issues with the Ingress controller regarding reverse proxy settings when using multiple paths per rule and a template by adjusting the indexing logic to be configurable via the new `KUBERNETES_REVERSE_PROXY_SUFFIX_START` setting (default is `1` to keep backward compatibility)
 - [BUGFIX] Escape percentage signs in `DATABASE_URI` for Alembic when using the SQLAlchemy URL configuration to prevent formatting errors during migrations
+- [BUGFIX] Fix issues with `Autoconf` controllers persisting old instances after they have been deleted from the orchestrator.
 - [UI] Enhance service configuration handling during edits and renames to ensure consistency and prevent data loss
 - [UI] Enhance session management with Redis support and configurable session lifetime
+- [UI] Renamed "Global Configuration" to "Global Settings" in the web UI for clarity
+- [UI] Address CSRF token issues in the web UI when not connecting through BunkerWeb
+- [UI] Add the possibility to provide a certificate and a key so that the web UI can be served over HTTPS (without requiring a reverse proxy)
 - [LINUX] Support Fedora 43
+- [LINUX] Update version retrieval for RPM packaging to ensure correct sorting for release candidates
 - [DOCS] Add documentation about the new logging settings and how to configure them
+- [DOCS] Update database compatibility matrix
 - [DEPS] Update lua-resty-session version to v4.1.5
 - [DEPS] Update coreruleset-v4 version to v4.21.0
+- [DEPS] Updated zlib version to v1.3.1.2
 
 ## v1.6.6 - 2025/11/24
 

docs/advanced.md

@@ -46,7 +46,7 @@ You will find more settings about real IP in the [features section](features.md#
 
     === "Web UI"
 
-        Navigate to the **Global config** page, select the **Real IP** plugin and fill out the following settings :
+        Navigate to the **Global Settings** page, select the **Real IP** plugin and fill out the following settings :
 
         <figure markdown>![Real IP settings (header) using web UI](assets/img/advanced-proxy1.png){ align=center }<figcaption>Real IP settings (header) using web UI</figcaption></figure>
 
@@ -208,7 +208,7 @@ You will find more settings about real IP in the [features section](features.md#
 
     === "Web UI"
 
-        Navigate to the **Global config** page, select the **Real IP** plugin and fill out the following settings :
+        Navigate to the **Global Settings** page, select the **Real IP** plugin and fill out the following settings :
 
         <figure markdown>![Real IP settings (PROXY protocol) using web UI](assets/img/advanced-proxy2.png){ align=center }<figcaption>Real IP settings (PROXY protocol) using web UI</figcaption></figure>
 
@@ -874,7 +874,7 @@ To enable systemd-resolved as your DNS resolver in BunkerWeb, set the `DNS_RESOL
 
 === "Web UI"
 
-    Navigate to the **Global config** page and set the DNS resolvers to `127.0.0.53`
+    Navigate to the **Global Settings** page and set the DNS resolvers to `127.0.0.53`
 
     <figure markdown>![DNS resolvers setting using web UI](assets/img/advanced-dns-resolvers.png){ align=center }<figcaption>DNS resolvers setting using web UI</figcaption></figure>
 
@@ -942,7 +942,7 @@ To enable systemd-resolved as your DNS resolver in BunkerWeb, set the `DNS_RESOL
 
     === "Web UI"
 
-        Navigate to the **Global config** page, select the **NGINX** plugin and set the DNS resolvers to `127.0.0.1`.
+        Navigate to the **Global Settings** page, select the **NGINX** plugin and set the DNS resolvers to `127.0.0.1`.
 
         <figure markdown>![DNS resolvers setting using web UI](assets/img/advanced-dns-resolvers2.png){ align=center }<figcaption>DNS resolvers setting using web UI</figcaption></figure>
 
@@ -1267,7 +1267,7 @@ Some integrations provide more convenient ways to apply configurations, such as
     **Using labels**
 
     !!! warning "Limitations using labels"
-        When using labels with the Docker autoconf integration, you can only apply custom configurations for the corresponding web service. Applying **http**, **default-server-http**, **stream** or any global configurations (like **server-http** or **server-stream** for all services) is not possible : you will need to mount files for that purpose.
+        When using labels with the Docker autoconf integration, you can only apply custom configurations for the corresponding web service. Applying **http**, **default-server-http**, **stream** or any global settings (like **server-http** or **server-stream** for all services) is not possible : you will need to mount files for that purpose.
 
     The labels to use must follow the pattern `bunkerweb.CUSTOM_CONF_<TYPE>_<NAME>` :
 
@@ -2836,7 +2836,7 @@ services:
 
 This configuration ensures that logs are rotated, preventing them from filling up your disk. You can apply this to any service in your Docker Compose setup.
 
-**Global configuration (daemon.json)**
+**Global settings (daemon.json)**
 
 If you want to apply these logging settings to all containers on the host by default, you can configure the Docker daemon by editing (or creating) the `/etc/docker/daemon.json` file:
 
@@ -2856,7 +2856,7 @@ After modifying `daemon.json`, you need to restart the Docker daemon for the cha
 sudo systemctl restart docker
 ```
 
-This global configuration will be inherited by all containers. However, any logging configuration defined on a per-service basis in a `docker-compose.yml` file will override the global settings in `daemon.json`.
+These global settings will be inherited by all containers. However, any logging configuration defined on a per-service basis in a `docker-compose.yml` file will override the global settings in `daemon.json`.
 
 ## Security tuning {#security-tuning}
 

docs/concepts.md

@@ -96,7 +96,7 @@ app2.example.com_WHITELIST_COUNTRY=FR
 app3.example.com_USE_BAD_BEHAVIOR=no
 ```
 
-Please note that multisite mode is implicit when using the web User Interface. You have the option to apply configurations directly to your services or to set a global configuration that will be applied to all your services (you can still apply exceptions directly to specific services):
+Please note that multisite mode is implicit when using the web User Interface. You have the option to apply configurations directly to your services or to set global settings that will be applied to all your services (you can still apply exceptions directly to specific services):
 
 <figure markdown>
   ![Overview](assets/img/ui-multisite.png){ align=center, width="600" }
@@ -163,15 +163,15 @@ By specifying the appropriate database URI in the configuration, you can seamles
 
 ### Database compatibility matrix
 
-| Integration        | PostgreSQL                    | MariaDB             | MySQL              | SQLite      |
-| :----------------- | :---------------------------- | :------------------ | :----------------- | :---------- |
-| **Docker**         | ✅ `v17` and earlier (❌ `v18`) | ✅ `v11` and earlier | ✅ `v9` and earlier | ✅ Supported |
-| **Kubernetes**     | ✅ `v17` and earlier (❌ `v18`) | ✅ `v11` and earlier | ✅ `v9` and earlier | ✅ Supported |
-| **Autoconf**       | ✅ `v17` and earlier (❌ `v18`) | ✅ `v11` and earlier | ✅ `v9` and earlier | ✅ Supported |
-| **Linux packages** | See notes below               | See notes below     | See notes below    | ✅ Supported |
+| Integration        | PostgreSQL                                   | MariaDB             | MySQL              | SQLite      |
+| :----------------- | :------------------------------------------- | :------------------ | :----------------- | :---------- |
+| **Docker**         | ✅ `v18` and earlier (all-in-one: ✅ `v17`)   | ✅ `v11` and earlier | ✅ `v9` and earlier | ✅ Supported |
+| **Kubernetes**     | ✅ `v18` and earlier                          | ✅ `v11` and earlier | ✅ `v9` and earlier | ✅ Supported |
+| **Autoconf**       | ✅ `v18` and earlier                          | ✅ `v11` and earlier | ✅ `v9` and earlier | ✅ Supported |
+| **Linux packages** | See notes below                              | See notes below     | See notes below    | ✅ Supported |
 
 !!! info "Notes"
-    - **PostgreSQL**: `v18` is unsupported because the Alpine base images we ship only include `v17` client packages.
+    - **PostgreSQL**: Alpine packages now ship with the `v18` client, so `v18` and earlier are supported out of the box; the all-in-one image still embeds `v17`, so `v18` is unsupported there.
     - **Linux**: Support depends on your distribution's packages. If needed, you can install database clients manually from vendor repositories (RHEL typically requires this).
     - **SQLite**: Ships with the packages and is ready to use.
 

docs/de/advanced.md

@@ -46,7 +46,7 @@ Weitere Einstellungen zur echten IP finden Sie im [Features-Abschnitt](features.
 
     === "Web-UI"
 
-        Navigieren Sie zur Seite **Globale Konfiguration**, wählen Sie das Plugin **Real IP** und füllen Sie die folgenden Einstellungen aus:
+        Navigieren Sie zur Seite **Globale Einstellungen**, wählen Sie das Plugin **Real IP** und füllen Sie die folgenden Einstellungen aus:
 
         <figure markdown>![Real IP Einstellungen (Header) mit Web-UI](assets/img/advanced-proxy1.png){ align=center }<figcaption>Real IP Einstellungen (Header) mit Web-UI</figcaption></figure>
 
@@ -208,7 +208,7 @@ Weitere Einstellungen zur echten IP finden Sie im [Features-Abschnitt](features.
 
     === "Web-UI"
 
-        Navigieren Sie zur Seite **Globale Konfiguration**, wählen Sie das Plugin **Real IP** und füllen Sie die folgenden Einstellungen aus:
+        Navigieren Sie zur Seite **Globale Einstellungen**, wählen Sie das Plugin **Real IP** und füllen Sie die folgenden Einstellungen aus:
 
         <figure markdown>![Real IP Einstellungen (PROXY-Protokoll) mit Web-UI](assets/img/advanced-proxy2.png){ align=center }<figcaption>Real IP Einstellungen (PROXY-Protokoll) mit Web-UI</figcaption></figure>
 
@@ -874,7 +874,7 @@ Um systemd-resolved als Ihren DNS-Resolver in BunkerWeb zu aktivieren, setzen Si
 
 === "Web-UI"
 
-    Navigieren Sie zur Seite **Globale Konfiguration** und setzen Sie die DNS-Resolver auf `127.0.0.53`
+    Navigieren Sie zur Seite **Globale Einstellungen** und setzen Sie die DNS-Resolver auf `127.0.0.53`
 
     <figure markdown>![DNS-Resolver-Einstellung mit Web-UI](assets/img/advanced-dns-resolvers.png){ align=center }<figcaption>DNS-Resolver-Einstellung mit Web-UI</figcaption></figure>
 
@@ -942,7 +942,7 @@ Um systemd-resolved als Ihren DNS-Resolver in BunkerWeb zu aktivieren, setzen Si
 
     === "Web-UI"
 
-        Navigieren Sie zur Seite **Globale Konfiguration**, wählen Sie das **NGINX**-Plugin und setzen Sie die DNS-Resolver auf `127.0.0.1`.
+        Navigieren Sie zur Seite **Globale Einstellungen**, wählen Sie das **NGINX**-Plugin und setzen Sie die DNS-Resolver auf `127.0.0.1`.
 
         <figure markdown>![DNS-Resolver-Einstellung mit Web-UI](assets/img/advanced-dns-resolvers2.png){ align=center }<figcaption>DNS-Resolver-Einstellung mit Web-UI</figcaption></figure>
 
@@ -2837,7 +2837,7 @@ services:
 
 Diese Konfiguration stellt sicher, dass die Protokolle rotiert werden, und verhindert, dass sie Ihre Festplatte füllen. Sie können dies auf jeden Dienst in Ihrer Docker Compose-Einrichtung anwenden.
 
-**Globale Konfiguration (daemon.json)**
+**Globale Einstellungen (daemon.json)**
 
 Wenn Sie diese Protokollierungseinstellungen standardmäßig auf alle Container auf dem Host anwenden möchten, können Sie den Docker-Daemon konfigurieren, indem Sie die Datei `/etc/docker/daemon.json` bearbeiten (oder erstellen):
 
@@ -2857,7 +2857,7 @@ Nachdem Sie `daemon.json` geändert haben, müssen Sie den Docker-Daemon neu sta
 sudo systemctl restart docker
 ```
 
-Diese globale Konfiguration wird von allen Containern übernommen. Jede pro Dienst in einer `docker-compose.yml`-Datei definierte Protokollierungskonfiguration überschreibt jedoch die globalen Einstellungen in `daemon.json`.
+Diese globalen Einstellungen werden von allen Containern übernommen. Jede pro Dienst in einer `docker-compose.yml`-Datei definierte Protokollierungskonfiguration überschreibt jedoch die globalen Einstellungen in `daemon.json`.
 
 ## Sicherheits-Tuning {#security-tuning}
 

docs/de/concepts.md

@@ -96,7 +96,7 @@ app2.example.com_WHITELIST_COUNTRY=FR
 app3.example.com_USE_BAD_BEHAVIOR=no
 ```
 
-Bitte beachten Sie, dass der Multisite-Modus bei Verwendung der Web-Benutzeroberfläche implizit ist. Sie haben die Möglichkeit, Konfigurationen direkt auf Ihre Dienste anzuwenden oder eine globale Konfiguration festzulegen, die auf alle Ihre Dienste angewendet wird (Sie können immer noch Ausnahmen direkt auf bestimmte Dienste anwenden):
+Bitte beachten Sie, dass der Multisite-Modus bei Verwendung der Web-Benutzeroberfläche implizit ist. Sie haben die Möglichkeit, Konfigurationen direkt auf Ihre Dienste anzuwenden oder globale Einstellungen festzulegen, die auf alle Ihre Dienste angewendet werden (Sie können immer noch Ausnahmen direkt auf bestimmte Dienste anwenden):
 
 <figure markdown>
   ![Übersicht](assets/img/ui-multisite.png){ align=center, width="600" }
@@ -163,15 +163,15 @@ Durch Angabe des entsprechenden Datenbank-URI in der Konfiguration können Sie B
 
 ### Datenbank-Kompatibilitätsmatrix
 
-| Integration      | PostgreSQL                   | MariaDB              | MySQL                | SQLite        |
-| :--------------- | :--------------------------- | :------------------- | :------------------- | :------------ |
-| **Docker**       | ✅ `v17` und früher (❌ `v18`) | ✅ `v11` und früher   | ✅ `v9` und früher    | ✅ Unterstützt |
-| **Kubernetes**   | ✅ `v17` und früher (❌ `v18`) | ✅ `v11` und früher   | ✅ `v9` und früher    | ✅ Unterstützt |
-| **Autoconf**     | ✅ `v17` und früher (❌ `v18`) | ✅ `v11` und früher   | ✅ `v9` und früher    | ✅ Unterstützt |
-| **Linux-Pakete** | Siehe Hinweise unten         | Siehe Hinweise unten | Siehe Hinweise unten | ✅ Unterstützt |
+| Integration      | PostgreSQL                               | MariaDB              | MySQL                | SQLite        |
+| :--------------- | :--------------------------------------- | :------------------- | :------------------- | :------------ |
+| **Docker**       | ✅ `v18` und früher (all-in-one: ✅ `v17`) | ✅ `v11` und früher   | ✅ `v9` und früher    | ✅ Unterstützt |
+| **Kubernetes**   | ✅ `v18` und früher                       | ✅ `v11` und früher   | ✅ `v9` und früher    | ✅ Unterstützt |
+| **Autoconf**     | ✅ `v18` und früher                       | ✅ `v11` und früher   | ✅ `v9` und früher    | ✅ Unterstützt |
+| **Linux-Pakete** | Siehe Hinweise unten                      | Siehe Hinweise unten | Siehe Hinweise unten | ✅ Unterstützt |
 
 !!! info "Hinweise"
-    - **PostgreSQL**: `v18` wird nicht unterstützt, da die von uns bereitgestellten Alpine-Basis-Images nur die `v17`-Client-Pakete enthalten.
+    - **PostgreSQL**: Alpine-basierte Pakete enthalten jetzt den `v18`-Client, daher werden `v18` und frühere Versionen standardmäßig unterstützt; das all-in-one-Image enthält weiterhin den `v17`-Client, daher wird `v18` dort nicht unterstützt.
     - **Linux**: Die Unterstützung hängt von den Paketen Ihrer Distribution ab. Bei Bedarf können Sie Datenbank-Clients manuell aus den Hersteller-Repositorys installieren (dies ist bei RHEL normalerweise erforderlich).
     - **SQLite**: Wird mit den Paketen ausgeliefert und ist sofort einsatzbereit.
 

docs/de/integrations.md

@@ -2712,7 +2712,7 @@ The **BunkerWeb controller** automatically discovers pods with BunkerWeb sidecar
 ```yaml
 controller:
   enabled: true
-  tag: "1.6.5"
+  tag: "1.6.6"
 ```
 
 2. For each sidecar, add:
@@ -2805,7 +2805,7 @@ In your BunkerWeb chart `values.yaml`, configure the `BUNKERWEB_INSTANCES` envir
 
 ```yaml
 scheduler:
-  tag: "1.6.5"
+  tag: "1.6.6"
   extraEnvs:
     - name: BUNKERWEB_INSTANCES
       value: "http://app1-bunkerweb-workers.namespace.svc.cluster.local:5000 http://app2-bunkerweb-workers.namespace.svc.cluster.local:5000"
@@ -2849,7 +2849,7 @@ spec:
 
         # BunkerWeb Sidecar
         - name: bunkerweb
-          image: bunkerity/bunkerweb:1.6.6-rc2
+          image: bunkerity/bunkerweb:1.6.6
           ports:
             - containerPort: 8080  # Exposed HTTP port
             - containerPort: 5000  # Internal API (mandatory)
@@ -3419,7 +3419,7 @@ Und Sie können nun zum Einrichtungsassistenten gehen, indem Sie zu `https://bun
 
 **Schutz einer bestehenden Anwendung**
 
-**Zuerst müssen Sie zu Global Config gehen, das SSL-Plugin auswählen und dann die automatische Weiterleitung von HTTP zu HTTPS deaktivieren. Bitte beachten Sie, dass Sie dies nur einmal tun müssen.**
+**Zuerst müssen Sie zu den Globalen Einstellungen gehen, das SSL-Plugin auswählen und dann die automatische Weiterleitung von HTTP zu HTTPS deaktivieren. Bitte beachten Sie, dass Sie dies nur einmal tun müssen.**
 
 Nehmen wir an, Sie haben eine Anwendung im Namespace `myapp`, die über den Dienst `myapp-service` auf Port `5000` zugänglich ist.
 

docs/de/troubleshooting.md

@@ -547,7 +547,7 @@ Falls Sie Ihre UI-Anmeldeinformationen vergessen haben oder Probleme mit 2FA hab
     Verwenden Sie die **Support-Seite** in der Web-UI, um schnell Konfigurationen und Protokolle zur Fehlerbehebung zu sammeln.
 
     - Öffnen Sie die Web-UI und gehen Sie zur Support-Seite.
-    - Wählen Sie den Geltungsbereich: Exportieren Sie die globale Konfiguration oder wählen Sie einen bestimmten Dienst aus.
+    - Wählen Sie den Geltungsbereich: Exportieren Sie die globalen Einstellungen oder wählen Sie einen bestimmten Dienst aus.
     - Klicken Sie, um das Konfigurationsarchiv für den ausgewählten Geltungsbereich herunterzuladen.
     - Laden Sie optional Protokolle herunter: Die exportierten Protokolle werden automatisch anonymisiert (alle IP-Adressen und Domains werden maskiert).