Üdvözlünk a Magyar phpBB Közösség oldalán!
Mi az a phpBB?
A phpBB a legnépszerűbb nyílt forráskódú ingyenes fórumrendszer, mely felhasználóbarát felülettel, egyszerű és lényegretörő adminisztrációs panellel és egy hasznos Gy.I.K.-kel rendelkezik. A népszerű PHP nyelvet használja, valamint számos adatbázist támogat: MySQL, MS-SQL, PostgreSQL és Access/ODBC. A phpBB az ideális ingyenes fórum az összes weboldalra. További információk
Megjelent a phpBB 3.2.8
Elküldve: 2019.09.24. 22:38 Szerző: Marcee
Megjelent a phpBB 3.2.8-as verziója, amelyet a készítők Maria Wilhelmina Theodora 'Marian' Verhoog-Wienk (1958. október 8. - 2019. szeptember 18.) emlékének ajánlják, akit a phpBB.com fórumán marian0810 néven lehetett ismerni.
Ez a kiadás a 3.2.x-es széria biztonsági- és hibajavításokat tartalmazó kiadása, három biztonsági hiba javításával, további esetleges hibák kihasználását nehezítő változtatásokkal és az előző kiadásokban bejelentett működési hibák javításával.
A phpBB korábbi verziói két oldalon nem megfelelően ellenőrizték az űrlap tokeneket, aminek a kihasználásával rá lehetett venni a fórum felhasználóit, hogy nem kívánt műveleteket hajtsanak végre. A fejlesztők meg szeretnék köszönni kevinoclam-nak (HackerOne) and Yuval Kanarenstein-nek (SecuriTeam Secure Disclosure), hogy jelezték a hibákat, amelyek a CVE-2019-16107 és CVE-2019-13376 azonosítókat kapták.
Ezen felül a BBCode paraméterek nem megfelelő ellenőrzése lehetővé tette a style attribútum módosítását és az oldalba történő tetszőleges CSS formázás beszúrását. A fejlesztők megköszönik Hanno Böck-nek a hiba jelentését, amely a CVE-2019-16108 azonosítót kapta.
A további lehetséges támadások kivédésére a fejlesztők implementálták a Referrer-Policy fejlécet és letiltották a MySQLi helyi inifile beállítások használatának lehetőségét. A Referrer-Policy fejléc megakadályozza az előzmény oldal címének elküldését kevésbé biztonságos vagy harmadik fél által üzemeltetett oldalak meglátogatásakor, míg a MySQLi helyi inifile beállítások letiltása megakadályozza, hogy helyi fájlok beolvasása történhessen a fórumot kiszolgáló webszerver oldaláról.
A javítások között szerepel még egy OAuth bejelentkezéssel, egy továbbfejlesztett bejelentkezési űrlap tokennel kapcsolatos ellenőrzés, amely ezentúl bármelyik megjelenésben működik, az adatbázis mentések visszaállításának lehetősége, valamint újabb TLS verziók támogatása SMTP kapcsolatok esetén a legújabb PHP verziókon.
Az utolsó látogatási dátum alapján történő felhasználó keresés is módosításra került, hogy megfelelőbb keresési találatokat jelenítsen meg.
A phpBB támogatási csapatának munkáját könnyítendő fejlesztésként letiltásra került a prosilver megjelenés eltávolításának lehetősége, azonban az továbbra is letiltható maradt.
A fejlesztők megköszönik a kiadás elkészítésében való részvételt a következő személyeknek: 3D-I, Dark, Jakub Senko, mrgoldy, rxu, Christian Schnegelberger, EA117, kasimi, JoshyPHP, Casey Peel, Nekstati, Nuno Lopes, cclauss, espipj, kinerity.
A változtatások teljes listája megtalálható angolul a csomagok docs könyvtárában, a főbb változtatások a phpBB.com wiki-jében, a javított hibák pedig a phpBB.com hibakövető rendszerében. A fejlesztők várják az angol nyelvű kérdéseket vagy megjegyzéseket a kiadás phpBB.com témájában.
Az automatikus frissítő csomagokkal kapcsolatos változás, hogy azoknál a fórumoknál, ahol a phpBB alap fájljai nem kerültek módosításra, ezentúl a teljes csomaggal történő frissítés javasolt. Az automatikus frissítő csomagra csak abban az esetben van szükség, ha a phpBB alap fájljai is módosultak.
A teljes verzió és a nyelvi fájlok tőlünk, a frissítő csomagok pedig a phpBB.com oldaláról tölthetőek le. Ez utóbbi helyről az automatikus frissítő csomagon (Automatic Update Package) kívül többféle frissítő csomag is elérhető. Ne felejtsétek el frissíteni a nyelvi fájlokat se!
A nyelvi fájlokkal kapcsolatos észrevételeiteket, javaslataitokat szívesen fogadjuk Fordítási hibabejelentőnkben és a fordításunk GitHub oldalán!
Az előző verziókhoz hasonlóan elérhető a 3.2.7-3.2.8 automatikus frissítő csomag magyar fordításokat tartalmazó változata is.
Ez a kiadás a 3.2.x-es széria biztonsági- és hibajavításokat tartalmazó kiadása, három biztonsági hiba javításával, további esetleges hibák kihasználását nehezítő változtatásokkal és az előző kiadásokban bejelentett működési hibák javításával.
A phpBB korábbi verziói két oldalon nem megfelelően ellenőrizték az űrlap tokeneket, aminek a kihasználásával rá lehetett venni a fórum felhasználóit, hogy nem kívánt műveleteket hajtsanak végre. A fejlesztők meg szeretnék köszönni kevinoclam-nak (HackerOne) and Yuval Kanarenstein-nek (SecuriTeam Secure Disclosure), hogy jelezték a hibákat, amelyek a CVE-2019-16107 és CVE-2019-13376 azonosítókat kapták.
Ezen felül a BBCode paraméterek nem megfelelő ellenőrzése lehetővé tette a style attribútum módosítását és az oldalba történő tetszőleges CSS formázás beszúrását. A fejlesztők megköszönik Hanno Böck-nek a hiba jelentését, amely a CVE-2019-16108 azonosítót kapta.
A további lehetséges támadások kivédésére a fejlesztők implementálták a Referrer-Policy fejlécet és letiltották a MySQLi helyi inifile beállítások használatának lehetőségét. A Referrer-Policy fejléc megakadályozza az előzmény oldal címének elküldését kevésbé biztonságos vagy harmadik fél által üzemeltetett oldalak meglátogatásakor, míg a MySQLi helyi inifile beállítások letiltása megakadályozza, hogy helyi fájlok beolvasása történhessen a fórumot kiszolgáló webszerver oldaláról.
A javítások között szerepel még egy OAuth bejelentkezéssel, egy továbbfejlesztett bejelentkezési űrlap tokennel kapcsolatos ellenőrzés, amely ezentúl bármelyik megjelenésben működik, az adatbázis mentések visszaállításának lehetősége, valamint újabb TLS verziók támogatása SMTP kapcsolatok esetén a legújabb PHP verziókon.
Az utolsó látogatási dátum alapján történő felhasználó keresés is módosításra került, hogy megfelelőbb keresési találatokat jelenítsen meg.
A phpBB támogatási csapatának munkáját könnyítendő fejlesztésként letiltásra került a prosilver megjelenés eltávolításának lehetősége, azonban az továbbra is letiltható maradt.
A fejlesztők megköszönik a kiadás elkészítésében való részvételt a következő személyeknek: 3D-I, Dark, Jakub Senko, mrgoldy, rxu, Christian Schnegelberger, EA117, kasimi, JoshyPHP, Casey Peel, Nekstati, Nuno Lopes, cclauss, espipj, kinerity.
A változtatások teljes listája megtalálható angolul a csomagok docs könyvtárában, a főbb változtatások a phpBB.com wiki-jében, a javított hibák pedig a phpBB.com hibakövető rendszerében. A fejlesztők várják az angol nyelvű kérdéseket vagy megjegyzéseket a kiadás phpBB.com témájában.
Az automatikus frissítő csomagokkal kapcsolatos változás, hogy azoknál a fórumoknál, ahol a phpBB alap fájljai nem kerültek módosításra, ezentúl a teljes csomaggal történő frissítés javasolt. Az automatikus frissítő csomagra csak abban az esetben van szükség, ha a phpBB alap fájljai is módosultak.
A teljes verzió és a nyelvi fájlok tőlünk, a frissítő csomagok pedig a phpBB.com oldaláról tölthetőek le. Ez utóbbi helyről az automatikus frissítő csomagon (Automatic Update Package) kívül többféle frissítő csomag is elérhető. Ne felejtsétek el frissíteni a nyelvi fájlokat se!
A nyelvi fájlokkal kapcsolatos észrevételeiteket, javaslataitokat szívesen fogadjuk Fordítási hibabejelentőnkben és a fordításunk GitHub oldalán!
Az előző verziókhoz hasonlóan elérhető a 3.2.7-3.2.8 automatikus frissítő csomag magyar fordításokat tartalmazó változata is.
Megjelent a phpBB 3.2.7
Elküldve: 2019.05.09. 21:59 Szerző: Marcee
Megjelent a phpBB 3.2.7 "Bertie’s Force Field" nevű verziója, amely a 3.2.x-es széria hibajavításokat tartalmazó kiadása.
Javításra került többek között a bejelentkezések közbeni token validációval, a hozzászólás elküldése utáni téma címének megváltoztatásával, a privát üzenetek mappáinak megjelenítésével, valamint egy
A phpBB 3.2.6-os verziója előtti megjelenések esetén is újból lehetővé vált a bejelentkezés abban az esetben is, ha a megjelenés nem lett a legutolsó változtatásoknak megfelelően frissítve.
Javításra került többek között a bejelentkezések közbeni token validációval, a hozzászólás elküldése utáni téma címének megváltoztatásával, a privát üzenetek mappáinak megjelenítésével, valamint egy
[url=] BBCode-dal kapcsolatos hiba.
A phpBB 3.2.6-os verziója előtti megjelenések esetén is újból lehetővé vált a bejelentkezés abban az esetben is, ha a megjelenés nem lett a legutolsó változtatásoknak megfelelően frissítve.
Megjelent a phpBB 3.2.6
Elküldve: 2019.05.01. 18:05 Szerző: Marcee
Megjelent a phpBB 3.2.6 "You Know Nothing, Bertie Snow" nevű verziója, amely a 3.2.x-es széria biztonsági- és hibajavításokat tartalmazó kiadása, két biztonsági javítással, biztonsággal kapcsolatos fejlesztésekkel és számos, előző verziókban bejelentett működési hibák javításával.
Az előző phpBB verziók lehetővé tettek olyan kereséseket is, amelyek hosszú futásidővel és megnövekedett szerver terheléssel jártak a native fulltext keresőindexet használó, nagyobb méretű fórumokon. Ezt megakadályozandó a keresés funkcióval kapcsolatos új korlátozások kerültek bevezetésre. A fejlesztők megköszönik Snover-nek, hogy jelezte a problémát, ami a CVE-2019-9826 azonosítószámot kapta.
Javításra került egy külső webhelyről történő avatar feltöltéssel kapcsolatos probléma is, ami lehetővé tette, hogy fájlok és szolgáltatások meglétét lehessen ellenőrizni a webszerver helyi hálózatán. Az avatar feltöltésének engedélyezése külső helyről funkció működési elvéből adódóan nem lehetséges minden, a helyi hálózat elérését megkísérlő próbálkozást kivédeni. Emiatt a fejlesztők azt a döntést hozták, hogy a frissítéssel a funkciót kikapcsolják, amely a megfelelő figyelmeztetések mellett az Adminisztrátori vezérlőpultról szükség esetén újra bekapcsolható. Az avatar feltöltésének engedélyezése külső helyről funkció egy következő minor frissítésben eltávolításra fog kerülni. A fejlesztők megköszönik Do Ha Anh-nak a Viettel Cyber Security-től, hogy jelezte a problémát.
Az előző phpBB verziók lehetővé tettek olyan kereséseket is, amelyek hosszú futásidővel és megnövekedett szerver terheléssel jártak a native fulltext keresőindexet használó, nagyobb méretű fórumokon. Ezt megakadályozandó a keresés funkcióval kapcsolatos új korlátozások kerültek bevezetésre. A fejlesztők megköszönik Snover-nek, hogy jelezte a problémát, ami a CVE-2019-9826 azonosítószámot kapta.
Javításra került egy külső webhelyről történő avatar feltöltéssel kapcsolatos probléma is, ami lehetővé tette, hogy fájlok és szolgáltatások meglétét lehessen ellenőrizni a webszerver helyi hálózatán. Az avatar feltöltésének engedélyezése külső helyről funkció működési elvéből adódóan nem lehetséges minden, a helyi hálózat elérését megkísérlő próbálkozást kivédeni. Emiatt a fejlesztők azt a döntést hozták, hogy a frissítéssel a funkciót kikapcsolják, amely a megfelelő figyelmeztetések mellett az Adminisztrátori vezérlőpultról szükség esetén újra bekapcsolható. Az avatar feltöltésének engedélyezése külső helyről funkció egy következő minor frissítésben eltávolításra fog kerülni. A fejlesztők megköszönik Do Ha Anh-nak a Viettel Cyber Security-től, hogy jelezte a problémát.
Megjelent a phpBB 3.2.5
Elküldve: 2018.12.26. 19:39 Szerző: Marcee
Megjelent a phpBB 3.2.5 "Bertie's Secret Santa" nevű verziója, amely a 3.2.x-es széria hibajavításokat tartalmazó kiadása.
A kiadás többek között a
A kiadás többek között a
generate_text_for_display() függvényben található BBCode értelmezéssel kapcsolatos hiba javítását, az Adminisztrátori vezérlőpult Kiterjesztések füléről hiányzó egyik változó castolás pótlását, valamint az INCLUDEJS() hívással betöltött fájlokra verziózva történő hivatkozás javítását tartalmazza.Megjelent a phpBB 3.2.4
Elküldve: 2018.11.19. 00:06 Szerző: Marcee
Megjelent a phpBB 3.2.4 "Bertie's ‘stache" nevű verziója, amely a 3.2.x-es széria biztonsági- és hibajavításokat tartalmazó kiadása, egy biztonsági és számos, előző verziókban bejelentett működési hibák javításával.
A biztonsági hibát egy új, Phar deserialization nevű támadási technika használatával fedezték fel. Ennek segítségével egy alapító jogú adminisztrátor felhasználóhoz hozzáférő támadó távoli kódfuttatást érhet el a PHP nyelv Phar fájlok metaadatát érintő deszerializációs hibája miatt. További információ a technikáról angol nyelven a RIPS Technologies oldalán olvasható.
A biztonsági hibát egy új, Phar deserialization nevű támadási technika használatával fedezték fel. Ennek segítségével egy alapító jogú adminisztrátor felhasználóhoz hozzáférő támadó távoli kódfuttatást érhet el a PHP nyelv Phar fájlok metaadatát érintő deszerializációs hibája miatt. További információ a technikáról angol nyelven a RIPS Technologies oldalán olvasható.
Hirdetés
