Hallo iedereen,
Met plezier kondigen we de release aan van phpBB 3.3.16 âBertie in scrubsâ. Deze versie is een onderhouds- en beveiligingsrelease van de 3.3.x tak, waarin drie beveiligingsproblemen zijn opgelost, verschillende verbeteringen zijn doorgevoerd om de gebruikerservaring en stabiliteit te verhogen, en enkele problemen uit eerdere versies zijn verholpen.
In eerdere versies vertrouwde phpBB op informatie van de webserver om de URL voor het resetten van wachtwoorden op te bouwen. Afhankelijk van de phpBB- en serverconfiguratie werden deze gegevens niet altijd correct gefilterd, wat ertoe kon leiden dat door aanvallers gemanipuleerde URLâs werden meegestuurd in reset-e-mails. We bedanken Seong Hun Jeong (HunSec) voor het melden van dit probleem via HackerOne.
Daarnaast zorgden onvoldoende toegangscontroles bij het citeren van berichten in privĂŠberichten ervoor dat gebruikers toegang konden krijgen tot berichten die als soft-deleted of niet goedgekeurd waren gemarkeerd, zelfs wanneer deze normaal niet zichtbaar waren. Ook werd een probleem ontdekt met onvoldoende form key-controles in de meldfunctie voor berichten, wat mogelijk misbruikt kon worden om meldingen namens een gebruiker te versturen zonder diens toestemming. We bedanken het GitHub Security Lab Team voor het melden van deze twee problemen.
Verder werd een probleem ontdekt bij het markeren van forum meldingen als gelezen. Dit kon mogelijk misbruikt worden om de leesstatus van meldingen van andere gebruikers te wijzigen. Dank aan Liao Shuang voor het melden van dit probleem.
Er zijn ook extra beveiligingsmaatregelen toegevoegd bij het downloaden van bijlagen, met een verbeterde verwerking van niet-gerasteriseerde afbeeldingen om mogelijke XSS-aanvallen op foutief geconfigureerde webservers te voorkomen.
De verbeteringen in phpBB 3.3.16 omvatten onder andere de herintroductie van authenticatie voor RSS/Atom-feeds, evenals de mogelijkheid om de installer opnieuw te starten, bijvoorbeeld bij problemen tijdens het installatieproces.
Belangrijke bugfixes in deze release zijn onder meer extra oplossingen voor het correct weergeven van berichten in oplopende volgorde (chronologisch), problemen bij het terugdraaien van bepaalde migraties, en een mogelijke fatale fout bij het downloaden van bestanden met een specifiek bytebereik. Daarnaast gaven WHOIS-opzoekingen geen details zoals land of provider meer terug. Met de aanpassingen is phpBB nu opnieuw compatibel met de huidige ARIN/RIPE-services en worden deze gegevens weer correct weergegeven.
De volledige lijst met wijzigingen is beschikbaar in het changelogbestand in de map docs van het releasepakket. De belangrijkste punten van deze release vind je hieronder, en een overzicht van alle opgeloste problemen op onze tracker:
https://tracker.phpbb.com/issues/?filter=16890
De pakketten zijn beschikbaar via onze downloadpagina.Het ontwikkelingsteam bedankt iedereen die heeft bijgedragen aan deze release: Matt Friedman, rxu, Kailey M. Snay, battye, Daniel James, Christian Schnegelberger, LukeWCS, Neo-CTC, IdfbAn, Patrick Webster, Robert Korulczyk, cabot
