Seite 1 von 1

phpBB 3.2.4 erschienen - bitte updaten

Verfasst: 17.11.2018 14:14
von Crizzo
Hallo zusammen,

phpBB.com hat gestern Abend phpBB 3.2.4 "Bertie's 'stache" (Berties Schnurrbart) veröffentlicht. Da es sich um eine Wartungs- und Sicherheitsveröffentlichung handelt, werden verschiedene gemeldete Probleme und eine potenzielle Sicherheitslücke geschlossen, ein Update wird daher empfohlen.

Wir empfehlen folgende Vorgehensweise beim Updaten: phpBB 3.2: Update von phpBB 3.2.x auf phpBB 3.2.x+1 (Wichtiger Hinweis: Bekannte Probleme in phpBB 3.2.4 und deren Lösung!)

Die Sicherheitslücke (CVE-2018-19274; entdeckt von Simon Scannell and Robin Peraglie von RIPS Technologies) wurde mit Hilfe von einer neuen Technik namens "Phar-Deserialization" entdeckt. Mit Hilfe eines Gründer-Administrator-Accounts hätte ein Angreifer Remote-Code ausführen können (Details: https://blog.ripstech.com/2018/new-php-exploitation-technique/).

Um die Sicherheitslücke zu schließen, wurde die Möglichkeit entfernt absolute Dateipfade im Administrationsbereich zu verwenden. Somit gibt es für ImageMagick (Board-Konfiguration > Dateianhänge) keine Möglichkeit mehr den Pfad anzugeben, die GD Library sollte als Alternative vorhanden sein. Zusätzlich wurde ein Event als Anknüpfpunkt für eine Erweiterung, die die Thumbnail-Erstellung übernimmt, ergänzt.

Zu den bereinigten Bugs gehören Fehler im Zusammenhang mit PHP 7.2 sowie Probleme, wenn Benutzer mehrfach aus der Gruppe "Kürzlich registrierte Benutzer" entfernt wurden. Weiterhin muss ab phpBB 3.2.4 bei der Funktion "Passwort vergessen" kein Benutzername mehr angegeben werden und die Benachrichtungs-E-Mails-Header enthalten jetzt Informationen zum Abmelden.


Die Ankündigung kann in unserem Diskussions-Thema diskutiert werden.

Re: phpBB 3.2.4 erschienen - bitte updaten

Verfasst: 20.11.2018 18:37
von Crizzo