Уважаемые пользователи phpBB Guru!
Мы рады объявить о выпуске phpBB 3.3.17 "Юный Берти". Данный релиз устраняет 4 проблемы безопасности, повышает общую защищенность системы, вносит улучшения в процесс авторизации OAuth и устраняет некоторые проблемы, замеченные в предыдущих выпусках.
Некорректная проверка прав доступа при настройке разрешений в администраторском разделе (ACP) могла позволить злонамеренному администратору превысить предоставленный ему уровень прав. phpBB group благодарит пользователя UdinChan за сообщение о проблеме через платформу HackerOne.
Другая потенциальная уязвимость затрагивала миграцию полей профиля: пользовательские данные обрабатывались некорректно, что могло привести к потенциальной SQL-инъекции через данные полей профиля. Это затрагивало только те конференции phpBB, которые обновлялись с версий старше phpBB 3.3.8 и еще не были обновлены до версии 3.3.11 или новее. phpBB group благодарит пользователя Anteater (giant_anteater) за сообщение о проблеме через HackerOne.
Кроме того, две отдельные ненадлежащие проверки в предыдущей реализации OAuth могли быть использованы для перехвата учетных записей пользователей. Одна из них не требовала, чтобы OAuth был настроен или включен. phpBB Group благодарит пользователей Aikido Security (aikido.dev) за сообщение через HackerOne, а также Dan Stefan Alexandru из Pentest-Tools.com и Himanshu Anand за сообщения по электронной почте.
В ходе исправления указанной проблемы с OAuth, проведен частичный рефакторинг кода для устранения дополнительных проблем с URL-адресами перенаправления. Обработка OAuth переведена на использование контроллеров. Побочным эффектом является то, что придется скорректировать URI перенаправления (redirect URI) на стороне провайдера OAuth. Ранее для реализации OAuth требовалось два URI перенаправления. Для Google это выглядело, например, так:
https://{ваш_URL_форума}/ucp.php?mode=login&login=external&oauth_service=googlehttps://{ваш_URL_форума}/ucp.php?i=ucp_auth_link&mode=auth_link&link=1&oauth_service=googleПосле рефакторинга адрес изменится, например, на:
Если на конференции включена функция URL rewriting, можно не указывать
https://{ваш_URL_форума}/app.php/user/oauth/authenticate/googleЕсли на конференции включена функция URL rewriting, можно не указывать
app.php/. Второй URI больше не требуется. В связи с этим, необходимо обновить URI перенаправления в настройках OAuth-клиентов, таких как Google или Facebook.Также были внедрены дополнительные меры защиты для поиска имен хостов и проверки реферера (referrer) при безопасной загрузке файлов.
Кроме того, устранена потенциальная проблема с удалением расширений, которая появилась в версии phpBB 3.3.16, а также решена проблема, возникавшая во время установки на этапе проверки файловой системы с использованием PHP 8.4.
Кроме того, устранена потенциальная проблема с удалением расширений, которая появилась в версии phpBB 3.3.16, а также решена проблема, возникавшая во время установки на этапе проверки файловой системы с использованием PHP 8.4.
Изменений в языковом пакете по сравнению с версией phpBB 3.3.16 не произошло.
На нашем сайте можно скачать русифицированный установочный пакет phpBB 3.3.17.
- Русский языковой пакет для phpBB 3.3 можно также скачать отдельно на официальном сайте phpbb.com.
Вы можете найти все доступные для скачивания релизы здесь.
Обсудить новость можно в теме: Вышел phpBB 3.3.17 [обсуждаем].
