Выпуск phpBB 3.2.8

Олег

29 сентября 2019

20 сентября вышел новый релиз популярного форума phpBB 3.2.8. Релиз содержит обновления безопасности, поэтому, рекомендуется к обновлению.

Ссылки

https://www.phpbb.com/community/viewtopic.php?f=14&t=2523271

О выпуске

Рад сообщить о выпуске phpBB 3.2.8. Этот выпуск посвящен памяти Maria Wilhelmina Theodora 'Marian' Verhoog-Wienk [08 октября 1958 - 18 сентября 2019], marian0810. Покойся с миром, Мариан.

Данный релиз устраняет ошибки безопасности, обнаруженные в предыдущих версиях:

CVE-2019-16107
CVE-2019-13376
CVE-2019-16108

Предыдущие версии phpBB неправильно применяли токены форм на двух отдельных страницах, которые могли использоваться, чтобы обманом заставить пользователей выполнять нежелательные действия. PhpBB group благодарит kevinoclam (из HackerOne) и Yuval Kanarenstein из SecuriTeam Secure Disclosure за сообщение об уязвимостях. Уязвимостям присвоены коды CVE-2019-16107 и CVE-2019-13376 соответственно. Неправильная фильтрация параметров BBCode позволяла модифицировать параметры стиля и загружать произвольный CSS код на страницу. PhpBB group благодарит Hanno Böck за сообщение об уязвимости, которой был присвоен код CVE-2019-16108.

Для большей защиты phpBB от возможных атак, добавлен HTTP заголовок Referrer-Policy и отключен параметр local-infile в MySQLi. Заголовок Referrer-Policy предотвращает отправку любой информации о странице - источнике перехода на менее защищённые страницы или сторонние сайты, а отключение параметра local-infile в MySQLi предотвращает запрос локальных файлов клиента сервером MySQL.

Также исправлены:

Проблемы с аутентификацией OAuth.
Улучшена проверка ключей форм для отправки логина и пароля, теперь работает во всех шаблонах.
Исправлено восстановление резервных копий БД.
Добавлена поддержка более новых версий TLS для соединений SMTP в последних версиях PHP.
Изменён поиск пользователей по времени их последнего посещения.
Отключено удаление ProSilver.
Для авторов расширений добавлены 13 новых событий ядра и 12 новых событий шаблона.

Команда разработчиков благодарит за непосредственное участие в разработке данного релиза: 3D-I, Dark❶, Jakub Senko, mrgoldy, rxu, Christian Schnegelberger, EA117, kasimi, JoshyPHP, Casey Peel, Nekstati, Nuno Lopes, cclauss, espipj, kinerity.

Примечания

В phpBB 3.2.8 так и не исправлена проблема с загрузкой JPG или JPEG картинок. Лечится как обычно:

phpBB — не загружается JPG

PPHBB 3.0.12 — обновление до 3.2.7

Олег

24 мая 2019
Подробнее о PPHBB 3.0.12 — обновление до 3.2.7

Обновим форум phpBB 3.0.12 до версии 3.2.7. Форум работает на IIS. Версия форума очень старая, поэтому сохраним только данные. Расширения и стили придётся удалить.

Выпуск phpBB 3.3 Proteus

Олег

20 января 2020
Подробнее о Выпуск phpBB 3.3 Proteus

С помощью более чем сотни добровольцев 6 января 2020 года выпущена новая продвинутая версия — релиз phpBB 3.3 Proteus. Новая версия является продолжением phpBB 3.2 Rhea и содержит обновлённые компоненты ядра, в том числе Symfony 3.4, Twig 2, и jQuery 3.4.

phpBB 3.2.8 — обновление до 3.2.9

Олег

27 января 2020
Подробнее о phpBB 3.2.8 — обновление до 3.2.9

Обновим форум phpBB 3.2.8 до версии 3.2.9. Форум работает на IIS. Обновляться будет с помощью пакета автоматического обновления. БД обновим через WEB. Форум работает на PHP 5.6.31.