Versie 3.3.17 van phpBB is uitgekomen. Met dit programma is het mogelijk om een webforum op te zetten. PhpBB wordt onder de GPL-licentie beschikbaar gesteld en maakt gebruik van PHP en een databaseprogramma om berichten op te slaan. Naast MySQL worden ook PostgreSQL, Oracle Database, Microsoft SQL Server en SQLite als databasesoftware ondersteund. Meer informatie over deze uitgave kan op deze pagina worden gevonden. De changelog voor deze uitgave kan hieronder worden gevonden.
phpBB 3.3.17 uitgebracht - graag updatenHet phpBB team heeft de nieuwe phpBB versie 3.3.17 “Young Bertie” uitgebracht. Deze versie is een onderhouds- en veiligheidsrelease voor de 3.3.x branche waarin vier beveiligingsproblemen zijn opgelost. We raden aan om zo snel mogelijk te updaten naar deze nieuwe versie. Daarnaast voegt phpBB 3.3.17 verdere beveiligingsverbeteringen (hardening) toe, introduceert het verbeteringen in de OAuth-flow en lost het enkele problemen op die in eerdere releases zijn opgemerkt.
De volgende kwetsbaarheden zijn verholpen:Tijdens het verbeteren van de OAuth-code is besloten om de huidige implementatie gedeeltelijk te herschrijven (refactoren) om enkele bekende problemen met de redirect-URL's op te lossen. De OAuth-workflow is verplaatst en maakt nu gebruik van controllers. Een bijkomend effect van deze verandering is dat je de redirect-URI voor je OAuth-provider moet aanpassen. Voorheen vereiste de OAuth-implementatie twee redirect-URI's. Voor Google was dit bijvoorbeeld:
- Door een onjuiste verificatie van toegangsrechten bij het instellen van permissies in het beheerderspaneel (ACP), kon een kwaadwillende beheerder zijn toegekende permissieniveau overschrijden. Wij danken UdinChan voor het melden van dit probleem via HackerOne.
- Een ander potentieel probleem betrof een migratie van profielvelden waarbij gebruikersgegevens niet adequaat werden verwerkt. Dit had kunnen leiden tot een mogelijke SQL-injectie via de profielveldgegevens. Dit had alleen invloed op phpBB-forums die waren geüpdatet vanaf versies vóór phpBB 3.3.8 en nog niet waren geüpdatet naar 3.3.11 of nieuwer. We danken Anteater (giant_anteater) voor het melden van dit probleem via HackerOne.
- Bovendien konden twee afzonderlijke onjuiste controles in de vorige OAuth-implementatie worden gebruikt om gebruikersaccounts over te nemen. Voor één hiervan hoefde OAuth niet geconfigureerd of ingeschakeld te zijn. We bedanken Aikido Security (aikido.dev) voor de melding via HackerOne, evenals Dan Stefan Alexandru van Pentest-Tools.com en Himanshu Anand voor hun meldingen via e-mail.
https://{jouw_forum_URL}/ucp.php?mode=login&login=external&oauth_service=googlehttps://{jouw_forum_URL}/ucp.php?i=ucp_auth_link&mode=auth_link&link=1&oauth_service=google
Met de nieuwe wijzigingen verandert dit in bijvoorbeeld:https://{jouw_forum_URL}/app.php/user/oauth/authenticate/google
Als je URL-herschrijven (URL rewriting) hebt ingeschakeld, kun je het gedeelteapp.php/ook weglaten. Een tweede URI is niet langer nodig. Je zult de redirect-URI moeten bijwerken in de instellingen bij je OAuth-aanbieders, zoals Google of Facebook.
Verdere verbeteringen en bugfixes in deze release omvatten:
- Extra beveiliging (hardening) voor hostname lookups en referer-controles bij veilige downloads.
- Een belangrijke bugfix verhelpt een potentieel probleem bij het deïnstalleren van extensies, dat was ontstaan door recente wijzigingen in phpBB 3.3.16.
- Een installatieprobleem tijdens de 'check filesystem'-stap is opgelost.
Zoals altijd is de volledige lijst met veranderingen te vinden in het changelog bestand in de docs map van het releasepakket. De highlights hiervan zijn te vinden in de phpBB.com mededeling. Ook een volledige lijst van alle opgeloste problemen is te vinden in de bug tracker.
:strip_exif()/i/2001056605.png?f=thumbmedium)
:strip_icc():strip_exif()/u/148872/crop6665b544785aa_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/63694/spion200_250-150x150.jpg?f=community){kind=small}