gestern Abend hat phpBB.com eine neue Version phpBB 3.2.8 veröffentlicht. Dieser Release ist dem ehemaligen phpBB.com-Teammitglied marian0810 gewidmet (Maria Wilhelmina Theodora 'Marian' Verhoog-Wienk [08 October 1958 - 18 September 2019]).
phpBB 3.2.8 ist ein Wartungs- und Sicherheitsrelease, dass viele verschiedene Bugs bereinigt und drei gemeldete Sicherheitslücken schließt.
Die Sicherheitslücken betrafen Formular-Tokens auf zwei unterschiedlichen Board-Seiten, die dazu genutzt werden konnten den ungewollte Benutzeraktionen auszuführen (CVE-2019-16107 und CVE-2019-13376). Die Prüfung von BBCode-Parametern war nicht ausreichend, so dass möglich war das Style-Attribute zu verändern und so CSS-Regeln in die Seite eingebunden werden konnten (CVE-2019-16108).
Ein paar dieser dieser Bugfixes sind:
- verschiedene Probleme mit OAuth-Logins
- Verbessert das Login-Token-Prüfung, so dass es nun keine Probleme mit anderen Template geben sollte
- Datenbank-Backups können nun im Admin-Bereich erneut wiederhergestellt werden
- Support für aktuelle TLS-Versionen für die SMTP-Verbindung wurde eingerichtet
- prosilver kann nicht mehr deinstalliert, allerdings weiterhin deaktiviert werden
- Original-Ankündigung: https://www.phpbb.com/community/viewtop ... &t=2523271
- Original-Download: https://www.phpbb.com/downloads/
- Release Highlights: https://wiki.phpbb.com/Release_Highlights/3.2.8
- Vollständige Liste der Änderungen: https://tracker.phpbb.com/issues/?filter=15090
- Style-Änderungen 3.2.7 zu 3.2.8: https://gist.github.com/marc1706/bba011 ... a634b9d355
- Deutsches Komplettpaket: https://www.phpbb.de/downloads/pakete/
- Deutsche Sprachpakete: https://www.phpbb.de/downloads/sprachpakete/