gerade hat phpBB.com die phpBB-Version 3.3.17 namens "Young Bertie" veröffentlicht. Hierbei handelt es sich um einen Wartungs- und Sicherheits-Release, der gleich vier verschiedene Sicherheitsprobleme behebt. Es wird daher empfohlen so bald wie möglich zu aktualisieren.
Die bereinigten Sicheitsprobleme im Überblick:
- Eine nicht ausreichende Prüfung der Zugangsberechtigungen im Administrations-Bereich beim Setzen von Berechtigungen führte dazu, dass es theoretisch möglich war für einen Administrator seine zugeteilten Berechtigungen unerlaubterweise auszuweiten.
- Ein weiteres Problem betraf eine Migration für Profilfelder, die Benutzerdaten nicht angemessen behandelt hatte und so eine SQL-Injection ermöglicht hätte. Dies betrifft allerdings nur Foren, die von einer phpBB-Version kleiner 3.3.8 aktualisiert wurden und nicht auf 3.3.11 und höher aktualisiert wurden.
- Zwei ungeeignete Prüfungen in der bisherigen OAuth-Implementierung konnten verwendet werden, um Benutzer-Accounts zu übernehmen, für eine der beiden musste OAuth nicht einmal eingerichtet sein.
Hinsichtlich der OAuth-Änderung gibt es eine Änderung, die alle Administratoren beachten müssen. Im Zuge der Änderungen wurde der Code in einen Controller verschoben. Dies führt dazu, dass zwei Weiterleitungs-URIs benötigt wurden. Beispielsweise für Google:
Code: Alles auswählen
https://{your_board_URL}/ucp.php?mode=login&login=external&oauth_service=google
https://{your_board_URL}/ucp.php?i=ucp_auth_link&mode=auth_link&link=1&oauth_service=googleCode: Alles auswählen
https://{your_board_URL}/app.php/user/oauth/authenticate/googleapp.php/ weggelassen werden. Zudem wurden zwei wichtige Bugfixes in Version 3.3.17 untergebracht. Ein Fehler konnte zu einem "Timeout" beim Installieren führen und ein Fehler im Migrator hat verhindert, dass verschiedene Erweiterungen vollständig deinstalliert werden konnten. Änderungen an den Sprachdateien gab es nicht.
Die vollständige Liste aller Änderungen kann wie immer im Changelog im Ordner
docs/ des Download-Pakets gefunden werden.- Originalankündigung bei phpBB: https://www.phpbb.com/community/viewtopic.php?t=2672170
- Die wichtigsten Highlights dieser Version: https://www.phpbb.com/community/viewtop ... #p16116760
- Styleänderungen zwischen phpBB 3.3.16 und 3.3.17: https://area51.phpbb.com/code-changes/3 ... -prosilver
- Eine Liste aller Verbesserungen und behobenen Probleme auf dem Tracker unter https://tracker.phpbb.com/issues/?filter=16990 (benötigt Login)
- Download der englischen Originalpakete: https://www.phpbb.com/downloads/
- Deutsche Pakete: https://www.phpbb.de/downloads/pakete/
