Уважаемые пользователи phpBB Guru!
Мы рады объявить о выпуске phpBB 3.2.6 "Ты не знаешь ничего, Берти Сноу". Данный релиз предназначен для устранения проблем безопасности и ранее обнаруженных ошибок.
В частности, предыдущие версии позволяли выполнять поисковые запросы, приводившие к длительному времени их исполнения и повышенной нагрузке на сервер на крупных конференциях, использующих поисковый механизм Fulltext native. Для борьбы с данной проблемой введены дополнительные ограничения на поисковые запросы. phpBB Group благодарит пользователя Snover за сообщение и проявленную ответственность. Данной проблеме присвоен идентификатор CVE-2019-9826.
Кроме того, решена другая исключительная проблема безопасности, которая позволяла проводить проверку существования файлов и сервисов в локальной сети с использованием функционала удаленных аватар. Из-за природы функционала удаленных аватар, невозможно предотвратить все возможные способы доступа к локальной сети. В связи с этим, решено деактивировать данную функцию в данном обновлении с выводом предупреждения о потенциальных нежелательных последствиях администраторам при попытке включения данной функции в администраторском разделе. сам функционал будет полностью удалён в следующем релизе. phpBB Group благодарит компанию Do Ha Anh of Viettel Cyber Security за информацию и проявленную ответственность.
Меры по дальнейшему повышению надежности включили в себя удаление функции скачивания резервных копий базы данных, более тщательную проверку входных данных в администраторском разделе, дополнительные проверки форм для ввода имени и пароля. большая часть данных мер предназначена для снижения потенциальных рисков компрометации учетной записи администратора и противодействия мошенническим действиям по захвату администраторского аккаунта.
Для достижения наиболее высокого уровня безопасности программного обеспечения, phpBB Group принято решение присоединиться к платформе безопасности HackerOne.
Отдельные решения по улучшению уровня безопасности в данном релизе уже являются результатом участия в пилотной программе указанного проекта. В ближайшее время phpBB подключится к публичной программе, которая позволит каждому желающему сообщать о выявленных проблемах безопасности, и тем самым получить дополнительный канал получения такой информации. До этого времени, о проблемах безопасности можно сообщать через Security tracker или по электронной почте security [at] phpbb.com.
Исправление ошибок включает, среди прочего, поддержку в cookies имен доменов со специальными символами, поддержку модуля Q&A при использовании MySQL 5.7, а также запрет установки phpBB 3.2 с версией PHP 7.3. Полная поддержка PHP 7.3 будет добавлена с выходом phpBB 3.3.
Также добавлены 15 новых событий ядра и 21 новое событие шаблона. Обновлены входящие в пакет phpBB сторонние библиотеки до их последних версий.
На нашем сайте можно скачать русифицированный установочный пакет phpBB 3.2.6.
Русский языковой пакет для phpBB 3.2 можно также скачать отдельно на официальном сайте phpbb.com после его валидации.
Вы можете найти все доступные для скачивания релизы здесь.
Обсудить новость можно в теме: Вышел phpBB 3.2.6 [обсуждаем].