Уважаемые пользователи phpBB Guru!
Мы рады объявить о выпуске phpBB 3.3.16 "Берти в медицинском халате". Данный релиз устраняет 3 проблемы безопасности, вносит ряд улучшений, направленных на повышение удобства использования и общей стабильности программного обеспечения, а также решает некоторые проблемы, замеченные в предыдущих выпусках.
В предыдущих версиях phpBB полагался на информацию от веб-сервера для формирования URL-адреса ссылки для сброса пароля. В зависимости от конфигурации phpBB и сервера эти данные могли фильтроваться ненадлежащим образом, что могло привести к отправке в письме для сброса пароля URL-адресов, контролируемых злоумышленником. phpBB group благодарит пользователя Seong Hun Jeong (HunSec) за сообщение об этой проблеме через платформу HackerOne.
Кроме того, ненадлежащие проверки доступа при цитировании сообщений в личных сообщениях позволяли пользователям получать доступ к сообщениям, удаленным "в корзину" (soft-deleted) или неодобренным, даже если обычно они не видны соответствующим пользователям. Также устранена проблема с некорректной проверкой ключей формы (form key) в функции жалоб на сообщения, которая потенциально могла быть использована для отправки жалоб от имени пользователя без его ведома и согласия. phpBB Group благодарит команду GitHub Security Lab за сообщение об этих двух проблемах.
Также обнаружена ненадлежащая проверка при пометке уведомлений конференции как прочитанных. Это потенциально могло быть использовано для изменения статуса прочтения уведомлений у других пользователей. phpBB group благодарит пользователя Liao Shuang за сообщение об этой проблеме.
Были внедрены дополнительные меры защиты при скачивании вложений: улучшена обработка нерастровых изображений для предотвращения возможных XSS-атак на неправильно настроенных веб-серверах.
Улучшения в phpBB 3.3.16 включают повторное введение аутентификации для лент RSS/Atom, а также добавление возможности перезапуска установщика, например, в случае возникновения проблем во время процесса установки.
Заметные исправления ошибок в этом резизе также включают дополнительные исправления для отображения сообщений в порядке возрастания (что могло приводить к нарушению хронологического порядка), устранение проблем с отменой некоторых миграций базы данных, а также потенциальной критической ошибки (fatal error) при скачивании файлов с определенным диапазоном байтов (byte range). Кроме того, запросы WHOIS-поиска не возвращали такие данные, как страна или провайдер. Благодаря внесенным корректировкам, phpBB теперь совместим с текущим состоянием сервисов ARIN/RIPE и снова будет возвращать эти сведения.
На нашем сайте можно скачать русифицированный установочный пакет phpBB 3.3.16.
- Русский языковой пакет для phpBB 3.3 можно также скачать отдельно на официальном сайте phpbb.com.
Вы можете найти все доступные для скачивания релизы здесь.
Обсудить новость можно в теме: Вышел phpBB 3.3.16 [обсуждаем].
