gestern hat phpBB.com "phpBB 3.2.6 'You Know Nothing, Bertie Snow'" veröffentlicht. Dies ist ein Wartungs- und Sicherheitsrelease von phpBB 3.2, der zwei Sicherheitslücken schließt und verschiedene weitere Verbesserungen bringt und verschiedene gemeldete Probleme behebt.
Verschiedene Eingaben in die Suchfunktion konnten bisher dazu genutzt werden, auf großen Boards lange Ausführungszeiten oder Serverlasten zu provizieren, sofern "Fulltext native" als Search-Engine genutzt wurde. Deshalb wurden dort neue Beschränkungen eingeführt.
Eine weitere mögliche Angriffsfläche stellt die Remote-Avatar-Funktion dar, da man dort nicht alle möglichen Eintrittspunkte schließen kann, ohne die Funktion zu entfernen, deaktiviert dieses Update diese Funktion und informiert den Administrator über die Problematik, bevor er die Funktion erneut aktiviert. Im nächsten Minor-Feature-Release wird die Funktion entfernt.
Die Wartungs-Funktion ein Backup herunterzuladen wurde gestrichen. Das Backup kann weiterhin über den Administrations-Bereich angelegt werden, muss dann allerdings aus dem
store/-Ordner per FTP-Client geladen werden. Damit soll verhindert werden, dass geklaute phpBB-Administrator-Konten Zugriff auf die Datenbank haben. Weitere nennenswerte Bugfixes: Support für das Q&A Captcha unter MySQL 5.7 ergänzt, Cookies unter Domains mit Sonderzeichen lauffähig gemacht sowie ein Schutz, der verhindert, dass phpBB 3.2 unter PHP 7.3 installiert wird. Vollständiger PHP 7.3 Support wird erst mit phpBB 3.3 kommen.
- Original-Ankündigung: https://www.phpbb.com/community/viewtop ... &t=2509941
- Original-Download: https://www.phpbb.com/downloads/
- Release Highlights: https://wiki.phpbb.com/Release_Highlights/3.2.6
- Vollständige Liste der Änderungen: https://tracker.phpbb.com/issues/?filter=14992
- Style-Änderungen 3.2.5 zu 3.2.6: https://gist.github.com/Crizz0/cbd0e41b ... b882aaf9ad
- Deutsches Komplettpaket: https://www.phpbb.de/downloads/pakete/
- Deutsche Sprachpakete: https://www.phpbb.de/downloads/sprachpakete/
