Daher raten wir allen, unbedingt so schnell wie möglich auf die neue phpBB-Version zu aktualisieren, auch wenn nur Foren mit aktiviertem Flash BBCode (der standardmäßig deaktiviert ist) betroffen sind.
Um die Sicherheitslücke in 3.0.7 zu schließen, gehe zur Zeile 354 in der includes/message_parser.php und füge direkt vor
Code: Alles auswählen
// Apply the same size checks on flash files as on images
Code: Alles auswählen
$in = str_replace(' ', '%20', $in);
// Make sure $in is a URL.
if (!preg_match('#^' . get_preg_expression('url') . '$#i', $in) &&
!preg_match('#^' . get_preg_expression('www_url') . '$#i', $in))
{
return '[flash=' . $width . ',' . $height . ']' . $in . '[/flash]';
}
https://github.com/phpbb/phpbb3/raw/dev ... bcodes.php
Das Scan-Skript muss einfach in das phpBB-Wurzelverzeichnis kopiert und dann aufgerufen werden.
In 3.0.8 wurde auch noch ein Problem mit dem recaptcha-Plugin beseitigt, welches es Spammern unter Umständen ermöglichte, das CAPTCHA zu überlisten.
Weitere, ausführlichere Informationen zu dem Release finden sich in der ursprünglichen Ankündigung auf phpBB.com.
Die deutschen Sprachpakete und die eingedeutschten Update- und Komplettpakete wurden bereits von uns aktualisiert: