Выпуск phpBB 3.2.8

Олег

29 сентября 2019

20 сентября вышел новый релиз популярного форума phpBB 3.2.8. Релиз содержит обновления безопасности, поэтому, рекомендуется к обновлению.

Ссылки

https://www.phpbb.com/community/viewtopic.php?f=14&t=2523271

О выпуске

Рад сообщить о выпуске phpBB 3.2.8. Этот выпуск посвящен памяти Maria Wilhelmina Theodora 'Marian' Verhoog-Wienk [08 октября 1958 - 18 сентября 2019], marian0810. Покойся с миром, Мариан.

Данный релиз устраняет ошибки безопасности, обнаруженные в предыдущих версиях:

CVE-2019-16107
CVE-2019-13376
CVE-2019-16108

Предыдущие версии phpBB неправильно применяли токены форм на двух отдельных страницах, которые могли использоваться, чтобы обманом заставить пользователей выполнять нежелательные действия. PhpBB group благодарит kevinoclam (из HackerOne) и Yuval Kanarenstein из SecuriTeam Secure Disclosure за сообщение об уязвимостях. Уязвимостям присвоены коды CVE-2019-16107 и CVE-2019-13376 соответственно. Неправильная фильтрация параметров BBCode позволяла модифицировать параметры стиля и загружать произвольный CSS код на страницу. PhpBB group благодарит Hanno Böck за сообщение об уязвимости, которой был присвоен код CVE-2019-16108.

Для большей защиты phpBB от возможных атак, добавлен HTTP заголовок Referrer-Policy и отключен параметр local-infile в MySQLi. Заголовок Referrer-Policy предотвращает отправку любой информации о странице - источнике перехода на менее защищённые страницы или сторонние сайты, а отключение параметра local-infile в MySQLi предотвращает запрос локальных файлов клиента сервером MySQL.

Также исправлены:

Проблемы с аутентификацией OAuth.
Улучшена проверка ключей форм для отправки логина и пароля, теперь работает во всех шаблонах.
Исправлено восстановление резервных копий БД.
Добавлена поддержка более новых версий TLS для соединений SMTP в последних версиях PHP.
Изменён поиск пользователей по времени их последнего посещения.
Отключено удаление ProSilver.
Для авторов расширений добавлены 13 новых событий ядра и 12 новых событий шаблона.

Команда разработчиков благодарит за непосредственное участие в разработке данного релиза: 3D-I, Dark❶, Jakub Senko, mrgoldy, rxu, Christian Schnegelberger, EA117, kasimi, JoshyPHP, Casey Peel, Nekstati, Nuno Lopes, cclauss, espipj, kinerity.

Примечания

В phpBB 3.2.8 так и не исправлена проблема с загрузкой JPG или JPEG картинок. Лечится как обычно:

phpBB — не загружается JPG

phpBB 3.2.8 — обновление до 3.2.9

Олег

27 января 2020
Подробнее о phpBB 3.2.8 — обновление до 3.2.9

Обновим форум phpBB 3.2.8 до версии 3.2.9. Форум работает на IIS. Обновляться будет с помощью пакета автоматического обновления. БД обновим через WEB. Форум работает на PHP 5.6.31.

phpBB 3.3.0 — обновление до 3.3.8

Олег

1 декабря 2022
Подробнее о phpBB 3.3.0 — обновление до 3.3.8

У меня на поддержке есть несколько форумов phpBB. Пришла пора обновить форум с версии 3.3.0 на версию 3.3.8. Текущий форум работает на IIS. PHP версии 7.3.7. В phpBB 3.3.8 есть поддержка PHP 8.0. Так что вместе с форумом придётся обновить PHP. Кроме того, в новой версии форума обновим расширения.

phpBB 3.2.9 — обновление до 3.3.0

Олег

31 января 2020
Подробнее о phpBB 3.2.9 — обновление до 3.3.0

Обновим форум с версии 3.2.9 на версию 3.3.0. Текущий форум работает на IIS. PHP версии 5.6.31. Минимально поддерживаемая phpBB 3.3 Proteus версия PHP повышена до PHP 7.1.3. Так что вместе с форумом придётся обновить PHP. Кроме того, в новой версии форума отказываются работать многие расширения, будем их чинить.