Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 11 reacties
Bron: phpBB, submitter: pleuris

Het programma phpBB is een krachtig, schaalbaar en volledig aanpasbaar forum pakket met een gebruikersvriendelijke interface en doeltreffende beheersfuncties. Het pakket wordt ontwikkeld in de taal PHP en biedt ondersteuning aan MySQL, MS-SQL, PostgreSQL en Access/ODBC databases voor het opslaan van de data. Sinds kort is versie 2.0.12 uitgebracht door de phpBB Group waarin een reeks beveiligingslekken worden opgelost. De release notes zien er als volgt uit:

phpBB Group are pleased to announce the release of phpBB 2.0.12 the "Horray for Furrywood" release. This release addresses a number of bugs and a couple of potential exploits. It also adds a new feature in the form of an ACP based version checker (maintainers of language packages please take note of the need for the additional localised string!).

One of the potential exploits addressed in this release could be serious in certain situations and thus we urge all users, as always, to upgrade to this release as soon as possible. Mostly this release is concerned with eliminating disclosures of information which while useful in debug situations may allow third parties to gain information which could be used to do harm via unknown or unfixed exploits in this or other applications.

What has changed in this release?
  • Added confirm table to admin_db_utilities.php
  • Prevented full path display on critical messages
  • Fixed full path disclosure in username handling caused by a PHP 4.3.10 bug
  • Added exclude list to unsetting globals (if register_globals is on)
  • Fixed arbitrary file disclosure vulnerability in avatar handling functions
  • Fixed arbitrary file unlink vulnerability in avatar handling functions
  • Removed version number from powered by line
  • Merged database update files to update_to_latest.php file
  • Fixed path disclosure bug in search.php caused by a PHP 4.3.10 bug
  • Fixed path disclosure bug in viewtopic.php caused by a PHP 4.3.10 bug
Moderatie-faq Wijzig weergave

Reacties (11)

Er is een probleem met het downloaden via Sourceforge, zie ook de discussie op het supportforum van phpbb. Daar hebben ook wat mensen mirrors opgezet (maar ik wacht toch liever op een 'officiele' Sourceforge-mirror).

[edit]
Er is een aantal links gepost, die met knippen en plakken op de een of andere manier wel werken. Zo is hier een patchfile in .gz-formaat te vinden.
Easynews mirror heeft het bestand nu. :)
Ik had geen enkel probleem met het downloaden van SF gisteravond. Voor de liefhebbers de changed files package: http://people.gamerszone.nl/sander/phpBB-2.0.12-files.tar.gz
je kunt wel wachten op de officiele, alleen die mirrors zullen dat ook wel zijn. gisteren kon ik namelijk zonder enig probleem downloaden van sf... dat zullen die mirrors ook wel gedaan hebben :)
"Removed version number from powered by line"
Dit is een slimme zet. Dit voorkomt dat je in 1 oogopslag in google kunt zien welke forums nog op een oude versie van phpBB draaien (en dus vatbaar zijn voor lekken). In de admin kun je nog wel zien welke versie je gebruikt, en je krijg daar ook meteen een melding als je versie niet meer up-to-date is.

Meteen maar even geupdate dus.
Inderdaad een goeie zet om het versienummer te verwijderen :) Ik heb nog geen problemen met phpbb gehad, sterker nog, ik ben er blij mee.

Helaas kan ik alleen de nieuwe versie niet downen via sourceforge, alle mirrors die ik tot nu toe heb gehad hebben de file niet staan.

@twi: Daarom is het ook de bedoeling te updaten, al zat inderdaad niet iedereen dat doen.
alle mirrors die ik tot nu toe heb gehad hebben de file niet staan.
Ja, dat heb je met mirrors: niks is in spiegelbeeld ook niks! ;)

maar inderdaad vaag dat ze het allemaal niet hebben, heb het zelf ook even geprobeerd...

ik heb een gzip-je gevonden op http://easynews.dl.sourceforge.net/sourceforge/phpbb/phpBB-2.0.12.tar. gz
Wat minder is, is dat degenen die wel kwetsbaar zijn gewoon makkelijk te identificeren zijn door via Google te zoeken naar boards met versienummer :+
Zo zie je maar dat die hacks van de laatste tijd toch een positief effect heeft. Dit is duidelijk een release waarin ze mogelijk te misbruiken zaken hebben rechtgezet. Great job!
Powered by phpBB 2.0.12 2001, 2002 phpBB Group
dit staat onder met forum.

?!/!
in de admin panel wel ja.

Maar op het forum zelf niet.

Dat heb ik tenminste gemerkt op mijn foru,

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True