phpBB 2.0.17 erschienen

News zu phpBB.de und phpBB
Bitte dieses Forum immer lesen.

phpBB 2.0.17 erschienen

Beitragvon Mungo » 20.07.2005 02:50

Die phpBB Group hat die Version 2.0.17 von phpBB freigegeben.
Wir empfehlen dringend auf die neue Version zu updaten. Zumindest sollte der Patch für die bbcode.php eingebaut werden. (siehe unten)

Die deutschen Pakete von phpBB 2.0.17 gibt es wie immer hier. Die Änderungen als MOD-Anleitung gibt es hier.

naderman hat für euch die Ankündigung von phpbb.com übersetzt:
Acyd Burn hat geschrieben:Hallo alle miteinander,

Die phpBB Group hat die Version 2.0.17 von phpBB freigegeben, die "no, we did not forget naming it last time" Version. Diese Version enthält mehrere Bugfixes, schließt sowohl einige weniger problematische Sicherheitslücken als auch die in letzter Zeit immer häufiger in Erscheinung tretende XSS Schwachstelle (betrifft nur den Internet Explorer).

Die Code Änderungen zum schließen der XSS Lücke sind weiter unten zu finden. Die phpBB Group ist wieder einmal erstaunt über die Energie mit der Leute nach den kleinsten Risiken in phpBB 2.0.x suchen, die wirklich eine Menge Zeit haben müssen. Andererseits wird wieder einmal die Sicherheit der Software gesteigert, da keine neuen Funktionen in den 2.0.x Code eingebaut werden.

In dieser Ankündigung möchte ich euch außerdem einige weitere Informationen zur Sicherheit von phpBB geben. psoTFX (Paul S. Owen, Projekt Manager) hat eine komplette Sicherheitsprüfung für den 2.0.x Quellcode initiiert und konzipiert. An dieser Prüfung nehmen einige erstklassige Sicherheitsexperten, phpBB-Modder und sehr talentierte Mitglieder unserer Teams teil. Wir haben uns vorgenommen, die nötigen Änderungen zu implementieren und auch die gefundenen Probleme zu lösen und hoffen, dem mittlerweile sehr alten Code (er ist immernoch auf dem technischen Stand von vor 3 Jahren) somit ein Lifting verpassen zu können und ihn mit heutigen Sicherheitsmechanismen und -techniken ausstatten zu können.

Außerdem haben wir vor, unser privates Bugtracking System der Öffentlichkeit zum Berichten von 2.0.x Bugs in den nächsten Tagen zur Verfügung zu stellen.

Die phpBB Group


Änderungen:
  • Added extra checks to the deletion code in privmsg.php - reported by party_fan
  • Fixed XSS issue in IE using the url BBCode
  • Fixed admin activation so that you must have administrator rights to activate accounts in this mode - reported by ieure
  • Fixed get_username returning wrong row for usernames beginning with numerics - reported by Ptirhiik
  • Pass username through phpbb_clean_username within validate_username function - AnthraX101
  • Fixed PHP error in message_die function
  • Fixed incorrect generation of {postrow.SEARCH_IMG} tag in viewtopic.php - reported by Double_J
  • Also fixed above issue in usercp_viewprofile.php
  • Fixed incorrect setting of user_level on pending members if a group is granted moderator rights - reported by halochat
  • Fixed ordering of forums on admin_ug_auth.php to be consistant with other pages
  • Correctly set username on posts when deleting a user from the admin panel


Der Patch für die includes/bbcode.php:
Finde (Zeile 203):
Code: Alles auswählen
   $patterns[] = "#\[url\]([\w]+?://[^ "\n\r\t<]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url1'];

   // [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url\]((www|ftp)\.[^ "\n\r\t<]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url2'];

   // [url=xxxx://www.phpbb.com]phpBB[/url] code..
   $patterns[] = "#\[url=([\w]+?://[^ "\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url3'];

   // [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url=((www|ftp)\.[^ "\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";


Ersetze mit:
Code: Alles auswählen
   $patterns[] = "#\[url\]([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url1'];

   // [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url\]((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url2'];

   // [url=xxxx://www.phpbb.com]phpBB[/url] code..
   $patterns[] = "#\[url=([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url3'];

   // [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url=((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";


Finde (Zeile 627):
Code: Alles auswählen
   $ret = preg_replace("#(^|[\n ])([\w]+?://[^ "\n\r\t<]*)#is", "\\1<a href="\\2" target="_blank">\\2</a>", $ret);

   // matches a "www|ftp.xxxx.yyyy[/zzzz]" kinda lazy URL thing
   // Must contain at least 2 dots. xxxx contains either alphanum, or "-"
   // zzzz is optional.. will contain everything up to the first space, newline,
   // comma, double quote or <.
   $ret = preg_replace("#(^|[\n ])((www|ftp)\.[^ "\t\n\r<]*)#is", "\\1<a href="http://\\2" target="_blank">\\2</a>", $ret);


Ersetze mit:
Code: Alles auswählen
   $ret = preg_replace("#(^|[\n ])([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href="\\2" target="_blank">\\2</a>", $ret);

   // matches a "www|ftp.xxxx.yyyy[/zzzz]" kinda lazy URL thing
   // Must contain at least 2 dots. xxxx contains either alphanum, or "-"
   // zzzz is optional.. will contain everything up to the first space, newline,
   // comma, double quote or <.
   $ret = preg_replace("#(^|[\n ])((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href="http://\\2" target="_blank">\\2</a>", $ret);
Benutzeravatar
Mungo
Administrator
Administrator
 
Beiträge: 6588
Registriert: 03.05.2003 19:34

Beitragvon Mungo » 20.07.2005 02:50

[ externes Bild ] Kommentare zu dieser Ankündigung sind im Diskussionsthema willkommen.
Benutzeravatar
Mungo
Administrator
Administrator
 
Beiträge: 6588
Registriert: 03.05.2003 19:34


Zurück zu Ankündigungen und Neuigkeiten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste