Перейти к основному содержанию
 

Выпуск phpBB 3.2.8

phpBB

20 сентября вышел новый релиз популярного форума phpBB 3.2.8. Релиз содержит обновления безопасности, поэтому, рекомендуется к обновлению.

Ссылки

https://www.phpbb.com/community/viewtopic.php?f=14&t=2523271

О выпуске

Рад сообщить о выпуске phpBB 3.2.8. Этот выпуск посвящен памяти Maria Wilhelmina Theodora 'Marian' Verhoog-Wienk [08 октября 1958 - 18 сентября 2019], marian0810. Покойся с миром, Мариан.

Данный релиз устраняет ошибки безопасности, обнаруженные в предыдущих версиях:

  • CVE-2019-16107
  • CVE-2019-13376
  • CVE-2019-16108

Предыдущие версии phpBB неправильно применяли токены форм на двух отдельных страницах, которые могли использоваться, чтобы обманом заставить пользователей выполнять нежелательные действия. PhpBB group благодарит kevinoclam (из HackerOne) и Yuval Kanarenstein из SecuriTeam Secure Disclosure за сообщение об уязвимостях. Уязвимостям присвоены коды CVE-2019-16107 и CVE-2019-13376 соответственно. Неправильная фильтрация параметров BBCode позволяла модифицировать параметры стиля и загружать произвольный CSS код на страницу. PhpBB group благодарит Hanno Böck за сообщение об уязвимости, которой был присвоен код CVE-2019-16108.

Для большей защиты phpBB от возможных атак, добавлен HTTP заголовок Referrer-Policy и отключен параметр local-infile в MySQLi. Заголовок Referrer-Policy предотвращает отправку любой информации о странице - источнике перехода на менее защищённые страницы или сторонние сайты, а отключение параметра local-infile в MySQLi предотвращает запрос локальных файлов клиента сервером MySQL.

Также исправлены:

  • Проблемы с аутентификацией OAuth.
  • Улучшена проверка ключей форм для отправки логина и пароля, теперь работает во всех шаблонах.
  • Исправлено восстановление резервных копий БД.
  • Добавлена поддержка более новых версий TLS для соединений SMTP в последних версиях PHP.
  • Изменён поиск пользователей по времени их последнего посещения.
  • Отключено удаление ProSilver.
  • Для авторов расширений добавлены 13 новых событий ядра и 12 новых событий шаблона.

Команда разработчиков благодарит за непосредственное участие в разработке данного релиза: 3D-I, Dark❶, Jakub Senko, mrgoldy, rxu, Christian Schnegelberger, EA117, kasimi, JoshyPHP, Casey Peel, Nekstati, Nuno Lopes, cclauss, espipj, kinerity.

Примечания

В phpBB 3.2.8 так и не исправлена проблема с загрузкой JPG или JPEG картинок. Лечится как обычно:

phpBB — не загружается JPG

Теги

Комментарии