
En ny phpBB-version är ute och finns för nedladdning här!
Notera: Svensk översättning är färdig för denna version och tidigare språkversioner kommer att visa felmeddelanden!
Hej allihopa,
Vi är glada att kunna meddela lanseringen av phpBB 3.3.17 "Young Bertie". Denna version är en underhålls- och säkerhetsversion av 3.3.x-grenen som åtgärdar fyra säkerhetsproblem, varav ett är ett kritiskt säkerhetsproblem. Vänligen uppdatera till den här nya versionen så snart som möjligt. Om du inte kan uppdatera omedelbart, läs detta meddelande i supportforumen: [BRÅDSKANDE] Lösning för att förhindra autentiseringskring
phpBB 3.3.17 lägger också till ytterligare hårdhet, introducerar förbättringar av OAuth-flödet och löser vissa problem som noterats i tidigare versioner.
Felaktig verifiering av åtkomstbehörigheter vid inställning av behörigheter i ACP kan ha gjort det möjligt för en illvillig administratör att överskrida den behörighetsnivå som beviljats dem. Vi vill tacka UdinChan för att han rapporterade detta problem till oss på HackerOne.
Ett annat potentiellt problem påverkade en profilfältmigrering som inte hanterade användardata på ett adekvat sätt och kunde ha resulterat i en potentiell SQL-injektion via profilfältdata. Detta påverkade endast phpBB-forum som hade uppdaterats från versioner före phpBB 3.3.8 och ännu inte har uppdaterats till 3.3.11 eller senare. Vi vill tacka Anteater (giant_anteater) för att de rapporterade detta problem till oss på HackerOne.
Dessutom kunde två separata felaktiga kontroller i den tidigare OAuth-implementeringen ha använts för att kapa användarkonton. En av dessa krävde inte att OAuth konfigurerades eller aktiverades. Vi vill tacka Aikido Security (aikido.dev) för att de rapporterade till oss via HackerOne, samt Dan Stefan Alexandru från Pentest-Tools.com och Himanshu Anand för att de rapporterade till oss via e-post.
När vi förbättrade OAuth-koden valde vi att delvis omstrukturera den nuvarande implementeringen för att lösa några ytterligare kända problem med omdirigerings-URL:erna och har istället flyttat OAuth-arbetsflödet till att använda kontroller. Som en bieffekt av denna ändring måste du justera omdirigerings-URI:n för din OAuth-leverantör. Tidigare krävde OAuth-implementeringen två omdirigerings-URI:er. För Google var detta t.ex.:
https://{your_board_URL}/ucp.php?mode=login&login=external&oauth_service=google
https://{your_board_URL}/ucp.php?i=ucp_auth_link&mode=auth_link&link=1&oauth_service=google
Med de omarbetade ändringarna kommer detta att ändras till t.ex.:
https://{your_board_URL}/app.php/user/oauth/authenticate/google
Om du har aktiverat URL-omskrivning kan du också utelämna app.php/-delen. En andra URI behövs inte längre. Du måste uppdatera omdirigerings-URI:n i dina konfigurationer hos OAuth-hyresgäster som Google eller Facebook.
Ytterligare förstärkning för hostnamnsökningar och hänvisningskontroll för säkra nedladdningar har introducerats.
En anmärkningsvärd buggfix i den här versionen löser ett potentiellt problem med avinstallationen av tillägg som introducerades med de senaste ändringarna i phpBB 3.3.16. Dessutom löstes ett installationsproblem under steget med att kontrollera filsystemet.
Den fullständiga listan över ändringar finns i ändringsloggfilen i docs-mappen som finns i releasepaketet. Du hittar de viktigaste höjdpunkterna i den här versionen nedan och en lista över alla problem som åtgärdats i vår tracker på https://tracker.phpbb.com/issues/?filter=16990
Paketen kan laddas ner från vår nedladdningssida.
- Sinom


