Уважаемые пользователи phpBB Guru!
Мы рады объявить о выпуске phpBB 3.3.16 "Берти в медицинском халате". Данный релиз устраняет 3 проблемы безопасности, вносит ряд усовершенствований, направленных на улучшение пользовательского опыта и общей стабильности продукта, а также исправляет ряд ранее обнаруженных ошибок.
В предыдущих версиях, phpBB основывался на информации, полученной от вебсервера, для генерации ссылки для восстановления забытого пароля. В зависимости от конфигурации phpBB и вебсервера, могла возникать проблемы с фильтрацией содержимого сгенерированной ссылки, что могло привести к отправке контролируемых злоумышленниками URL-адресов в качестве ссылок в электронных письмах для сброса пароля. phpBB благодарит пользователя Seong Hun Jeong (HunSec) за сообщение о проблеме через ресурс HackerOne.
Кроме того, ненадлежащая проверка прав при цитировании в личных сообщениях могла приводить к получению доступа к удалённым в корзину или неодобренным сообщениям, несмотря на то, что такие сообщения недоступны для обычных пользователей. Ещё одна проблема с ненадлежащей проверкой ключей HTML-форм при отправке жалоб на сообщения могла быть потенциально использована для отправки жалоб от имени других пользователей без их ведома и согласия. Команда phpBB благодарит GitHub Security Lab Team за сообщение о данных проблемах.
Дополнительно, была выявлена проблема с функционалом присвоения всем уведомлениям статуса прочитанных, при которой потенциально можно было пометить прочитанными уведомления других пользователей. Команда phpBB благодарит пользователя Liao Shuang за сообщение о проблеме.
Другие улучшения и исправления включают, в том числе:
- - усиление безопасности при скачивании вложений за счёт улучшенной обработки нерастровых изображений, что позволит предотвратить возможные атаки XSS на некорректно сконфигурированных серверах;
- - возврат функциональности аутентификации для новостных лент формата RSS/Atom;
- - добавление возможности начать процесс установки phpBB с начала, например, в случае возникновения каких-либо проблем с работой установщика.
- - исправление неверной сортировки сообщений в порядке убывания, которая могла приводить к нарушению хронологического порядка их следования;
- - исправление возможных проблем при откате миграций базы данных;
- - исправление потенциальных проблем со скачиванием файлов с заданным диапазоном байтов;
- - исправление проблем с совместимостью запросов WHOIS к сервисам ARIN/RIPE для получения корректной информации.
На нашем сайте можно скачать русифицированный установочный пакет phpBB 3.3.16.
- Русский языковой пакет для phpBB 3.3 можно также скачать отдельно на официальном сайте phpbb.com.
Вы можете найти все доступные для скачивания релизы здесь.
Обсудить новость можно в теме: Вышел phpBB 3.3.16 [обсуждаем].
