Software-update: phpBB 3.0.8

phpBB logo (27 pix)Zaterdag is versie 3.0.8 uitgebracht van phpBB. Met dit programma is het mogelijk een webforum te maken. PhpBB wordt onder de gpl-licentie beschikbaar gesteld en maakt gebruik van php en een databaseprogramma om berichten op te slaan. Naast MySQL worden ook PostgreSQL, Oracle, Firebird en SQLite als databasesoftware ondersteund. De complete lijst met veranderingen sinds versie 3.0.7 patch level 1 is in dit topic op het phpBB-forum te vinden, dit zijn de release notes voor deze versie:

phpBB 3.0.8 released

We are pleased to announce the release of phpBB "Patience is a Virtue" 3.0.8. This new version is a maintenance release fixing a large number of bugs as well as improving on usability and performance. Unfortunately we have also discovered a security issue in the previous version affecting boards which have the flash BBCode enabled - it is disabled by default. On WebKit based browsers like Safari or Chrome, as well as Opera, the flash BBCode can be used to execute javascript causing a cross site scripting vulnerability.

To fix this problem in 3.0.7, please go to line 354 in includes/message_parser.php, and right before
    // Apply the same size checks on flash files as on images
add these lines:
    $in = str_replace(' ', '%20', $in);

    // Make sure $in is a URL.
    if (!preg_match('#^' . get_preg_expression('url') . '$#i', $in) &&
    !preg_match('#^' . get_preg_expression('www_url') . '$#i', $in))
    {
    return '[flash=' . $width . ',' . $height . ']' . $in . '[/flash]';
    }
This will not fix the problem in already existing posts. In order to scan your board for malicious posts we have created a scanning script. Simply upload it to your phpBB's root directory and access it directly. A new version of the Support Toolkit including this script as well as a tool for reparsing individual posts will be released soon. We will keep you updated.

The release also fixes a problem with the recaptcha plugin which could have helped spammers circumvent the captcha in some cases. A thank you goes to Evilzone.org for highlighting a few bugs and giving us an overall good security rating.

We urge you to update your installation as soon as possible. Our support team will only support phpBB 3.0.8, updates to phpBB 3.0.8 and conversions to phpBB 3.0.8. Submissions to our trackers for older versions will not be accepted, please make sure you update before you submit a bug report.

If you use a language pack other than the default "English [GB]", you should check our downloads section, an update may already be available.

For a complete list of changes with attributed ticket numbers, please consult our comprehensive changelog.
phpBB 3.0 screenshot (481 pix)
Versienummer 3.0.8
Releasestatus Final
Besturingssystemen Scripttaal
Website phpBB
Download http://www.phpbb.com/downloads/
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

21-11-2010 • 14:58

8

Submitter: Anoniem: 327402

Bron: phpBB

Update-historie

10-04 phpBB 3.3.15 12
22-11 phpBB 3.3.14 3
09-'24 phpBB 3.3.13 22
06-'22 phpBB 3.3.8 0
08-'20 phpBB 3.3.1 46
01-'20 phpBB 3.3 12
05-'19 phpBB 3.2.7 8
05-'19 phpBB 3.2.6 8
11-'18 phpBB 3.2.4 0
01-'18 phpBB 3.2.2 0
Meer historie

Reacties (8)

8
8
6
1
0
1
Wijzig sortering
Sinds deze release wordt ook Microsoft SQL-server native ondersteund.
merk hier niks van de prestatie verbeteringen.
zijn er benchmarks of specifieke fixes?
Je moet ook niet echt prestatie verschil verwachten in minor releases, dit soort releases zijn alleen maar voor foutjes op te lossen en kleine dingen toe te voegen.
er staat anders in de release note's:
This new version is a maintenance release fixing a large number of bugs as well as improving on usability and performance.

maar als je in de comprehensive changelog kijkt staat er niks dat over de prestaties gaat.
beetje vaag dus.

oh toch wel performance fixes: Unnecessary overhead in avatar_process_user function

[Reactie gewijzigd door Gijs007 op 25 juli 2024 03:02]

Security-probleem betreft [flash] bbcode is hiermee gefixt onder andere. Daar was cross-site scripting mee mogelijk (met javascript).
Ik snap eigenlijk niet hoe het komt dat enkel WebKit browsers en Opera hiervoor kwetsbaar waren... Behandelen zij het <object> element dan zo veel anders dan IE en Firefox? Het lijkt me dat de andere browsers hier even kwetsbaar voor zijn.

Er was dus geen controle dat de ingegeven tekst wel een URL was, en daardoor kon men Cross-site scripting doen.
Ik was me vorige week nog aan het afvragen wanneer er nog eens een nieuwe versie ging uitkomen, en dan zag ik eergisteren dit :)

De lijst aan veranderingen is eigenlijk wel enorm als je het met de andere grotere releases vergelijkt in de changelog.
Flash toestaan is sowieso niet slim. Daarmee kun je gewoon teveel..

Op dit item kan niet meer gereageerd worden.