Versie 3.3.16 van phpBB is uitgekomen. Met dit programma is het mogelijk om een webforum op te zetten. PhpBB wordt onder de GPL-licentie beschikbaar gesteld en maakt gebruik van PHP en een databaseprogramma om berichten op te slaan. Naast MySQL worden ook PostgreSQL, Oracle Database, Microsoft SQL Server en SQLite als databasesoftware ondersteund. Meer informatie over deze uitgave kan op deze pagina worden gevonden. De changelog voor deze uitgave kan hieronder worden gevonden.
phpBB 3.3.16 uitgebracht - graag updatenMet deze release worden de gebruikers ervaring verder verbeterd, en de algemeen stabiliteit van de software.
In eerdere versies vertrouwde phpBB op informatie van de webserver om de URL voor het herstellen van wachtwoorden op te bouwen. Afhankelijk van de configuratie van phpBB en de server werden deze URL's mogelijk niet goed gefilterd. Dit kon ertoe leiden dat aanvallers eigen URL's konden meesturen in de e-mail voor het herstellen van het wachtwoord. Wij danken Seong Hun Jeong (HunSec) voor het melden van dit probleem via HackerOne.
Daarnaast zijn de volgende kwetsbaarheden verholpen:De verbeteringen in phpBB 3.3.16 omvatten onder andere:
- Door onjuiste controles bij het citeren van berichten in privéberichten, hadden gebruikers toegang tot berichten die gemarkeerd waren als 'soft-deleted' of niet-goedgekeurd, zelfs als deze normaal gesproken niet zichtbaar voor hen zouden zijn.
- Er is een probleem opgelost met de controle van formuliersleutels (form keys) bij het rapporteren van berichten. Dit kon misbruikt worden om namens een gebruiker meldingen te doen zonder diens toestemming. Met dank aan het GitHub Security Lab Team voor het melden van deze twee punten.
- Er is een fout ontdekt bij het markeren van forummeldingen als gelezen. Dit kon mogelijk worden gebruikt om de leesstatus van meldingen van andere gebruikers aan te passen. Dank aan Liao Shuang voor de melding.
- Er is extra beveiliging toegevoegd voor het downloaden van bijlagen. Door een verbeterde verwerking van niet-gerasterde afbeeldingen worden mogelijke XSS-aanvallen op verkeerd geconfigureerde webservers voorkomen.
In deze release zijn bovendien enkele relevante fouten hersteld:
- De herintroductie van authenticatie voor RSS/Atom-feeds.
- De mogelijkheid om het installatieprogramma te herstarten, bijvoorbeeld bij problemen tijdens het installatieproces.
- Er zijn verbeteringen doorgevoerd voor het weergeven van berichten in oplopende volgorde, wat voorheen soms niet-chronologisch gebeurde.
- Problemen met het ongedaan maken van bepaalde migraties zijn opgelost, evenals een mogelijke 'fatal error' bij het downloaden van bestanden met een specifieke byte-range.
- De WHOIS-opvragingen toonden geen details meer zoals land of provider. Door aanpassingen is phpBB nu weer compatibel met de huidige diensten van ARIN/RIPE, waardoor deze details weer correct worden weergegeven.
Zoals altijd is de volledige lijst met veranderen te vinden in de changelog bestanden in de docs map van het releasepakket. De highlights hiervan zijn te vinden in de phpBB.com mededeling. Ook een volledige lijst van alle opgeloste problemen is te vinden in de bug tracker.
:strip_exif()/i/2001056605.png?f=thumbmedium)
:strip_icc():strip_exif()/u/61950/hakker.jpg?f=community){kind=small}
/u/109114/crop55c4c6027bcb8_cropped.png?f=community){kind=small}