Уважаемые пользователи phpBB Guru!
Мы рады объявить о выпуске phpBB 3.2.8, который phpBB Group посвящает памяти Maria Wilhelmina Theodora 'Marian' Verhoog-Wienk [08 октября1958 - 18 сентября 2019] marian0810. Данный релиз предназначен для устранения ошибок и проблем безопасности, обнаруженных в предыдущих версиях.
В частности, предыдущие версии некорректно проверяли ключи форм отправки данных на двух различных страницах, что могло быть использовано для выполнения нежелательных действий. phpBB group благодарит пользователей kevinoclam (из HackerOne) и Yuval Kanarenstein из SecuriTeam Secure Disclosure за сообщение. Уязвимости получили коды CVE-2019-16107 и CVE-2019-13376. Кроме того, недостаточная фильтрация параметров BBCode позволяла модифицировать параметры стиля и загружать случайный CSS код на страницу (CVE-2019-16108). phpBB group благодарит пользователя Hanno Böck за сообщение.
Для дальнейшего укрепления защиты phpBB от возможных атак, добавлен HTTP заголовок Referrer-Policy и отключен параметр local-infile в MySQLi. Заголовок Referrer-Policy предотвращает отправку любой информации о странице - источнике перехода на менее защищённые страницы или сторонние сайты, в то время, как отключение параматра local-infile в MySQLi предотвращает запрос локальных файлов клиента сервером MySQL.
Среди исправленных ошибок - многочисленные проблемы с аутентификацией OAuth; улучшенная проверка ключей форм для отправки логина и пароля для всех применяемых стилей; восстановление резервных копий базы данных; поддержка новых версий TLS для соединений с серверами SMTP в посдедних версиях PHP. Поиск пользователей по времени последнего посещения усовершенствован для исключения неверных результатов.
Для исключения нежелательных проблем с работой phpBB, исключена возможность полного удаления стиля prosilver, который, однако, всё ещё может быть деактивирован.
Команда разработчиков благодарит пользователей за непосредственное участие в разработке данного релиза: 3D-I, Dark❶, Jakub Senko, mrgoldy, rxu, Christian Schnegelberger, EA117, kasimi, JoshyPHP, Casey Peel, Nekstati, Nuno Lopes, cclauss, espipj, kinerity.
Улучшения:
Новый сервис group_helper, упрощающий получение данных о группах пользователей для разработчиков .
HTTP заголовок Referrer-Policy теперь выводится по умолчанию на всех страницах phpBB.
Наиболее заметные изменения:
Более невозможно удалить стиль prosilver, поставляемый вместе с установочным пакетом phpBB и являющийся основным наследуемым стилем.
Усовершенстван алгоритм поиска пользователей по дате последнего посещения. В частности:
- при поиске по дате посещения
до 0000-00-00-> будут найдены пользователию. никогда не посещавшие конференцию с момента своей регистрации; - при поиске по дате посещения
после 0000-00-00-> - будут найдены пользователи, когда-либо посещавшие конференцию (либопослеуказанной вместо 0000-00-00 даты), кроме не посещавших с момента регистрации; - при поиске по дате посещения
доуказанной даты, кроме 0000-00-00 -> будут найдены пользователи, посещавшие конференцию до указанной даты, кроме не посещавших с момента регистрации.
Наиболее важные исправления:
Поддержка обновленных версий протокола TLS при отправке email-сообщений через SMTP.
Восстановлена возможность входа с любой страницы phpBB и исправлены возникавшие при этом проблемы с заблокированными пользователями.
Некорректный код в версии 3.2.7, приводивший к невозможности восстановления резервных копий базы данных.
Множественные проблемы со входом на конференцию для учётных записей, привязанных к сервисам OAuth.
Также для авторов расширений добавлены 13 новых событий ядра и 12 новых событий шаблона.
На нашем сайте можно скачать русифицированный установочный пакет phpBB 3.2.8.
Русский языковой пакет для phpBB 3.2 можно также скачать отдельно на официальном сайте phpbb.com после его валидации.
Вы можете найти все доступные для скачивания релизы здесь.
Обсудить новость можно в теме: Вышел phpBB 3.2.8 [обсуждаем].