phpBB 3.0.13 veröffentlicht

[gn#36]

Heute wurde phpBB 3.0.13 "Return of the Bertie" (Rückkehr des Bertie) veröffentlicht. Es handelt sich hierbei um ein Sicherheits- und Stabilitätsupdate für die phpBB 3.0.x Serie ("Olympus"). Dementsprechend braucht kein Update installiert werden, wenn bereits phpBB 3.1.x ("Ascraeus") eingesetzt wird. Das Update adressiert eine Reihe von Fehlern und einige wenige Sicherheitsrelevante Probleme, weshalb ein Update empfohlen wird.

Konkret handelt es sich beim ersten Sicherheitsproblem um eine CSRF (Cross Site Request Forgery) Lücke, bei welcher ein Angreifer die Einstellung beeinflussen kann, wie bei einem konkreten Benutzer volle PN Ordner gehandhabt werden sollen (also ob die älteste Nachricht gelöscht werden soll oder neue Nachrichten zurückgehalten werden sollen, bis wieder Platz ist).

Das zweite Sicherheitsproblem erlaubt einem Angreifer im Internet Explorer beliebigen CSS Code zu laden, sofern der Webserver den Zugriff auf PHP Dateien mit angehängtem Zusatzpfad (z.B. /pfad/index.php/weiterer/pfad) erlaubt. Dies lässt sich dann im Internet Explorer ausnutzen. Ab Version 7 des Browsers jedoch nur durch die Nutzung von Frames, die die veraltete Rendermethode erzwingen, da in älteren Internetexplorern JavaScript in CSS Code ausgeführt wird.

Beide Probleme betreffen phpBB 3.1.x nicht.

Neben diesen beiden Sicherheitskorrekturen wurde die Kompatibilität mit PHP 5.6, Apache 2.4, Internet Explorer 11 und Microsoft Azure verbessert, außerdem wurden einige kleinere Fehler behoben.

Die deutschen Sprachpakete sind in Arbeit und folgen in Kürze.

Siehe auch:
Release Highlights (engl.)
Ankündigung auf phpBB.com (engl.)
Liste aller in phpBB 3.0.13 behobenen Fehler (engl.)

[gn#36]

Diskussionen zu dieser Bekanntmachung sind im Thema Diskussion zu "phpBB 3.0.13 veröffentlicht" willkommen.