Megjelent a phpBB 3.2.4
Szerző
Üzenet
Megjelent a phpBB 3.2.4 "Bertie's ‘stache" nevű verziója, amely a 3.2.x-es széria biztonsági- és hibajavításokat tartalmazó kiadása, egy biztonsági és számos, előző verziókban bejelentett működési hibák javításával.
A biztonsági hibát egy új, Phar deserialization nevű támadási technika használatával fedezték fel. Ennek segítségével egy alapító jogú adminisztrátor felhasználóhoz hozzáférő támadó távoli kódfuttatást érhet el a PHP nyelv Phar fájlok metaadatát érintő deszerializációs hibája miatt. További információ a technikáról angol nyelven a RIPS Technologies oldalán olvasható.
A hiba javításához eltávolításra került az Adminisztrátori vezérlőpultról az abszolút elérési utak megadási lehetősége. Ezzel együtt az ImageMagick elérési útjának megadási lehetősége is törlésre került, emiatt a PHP GD képmanipuláló könyvtárának elérhetőnek kell lennie. Az ImageMagick helyettesítésére egy új kiskép generálási esemény került hozzáadásra, amit felhasználva lehetséges más kép módosító programkönyvtárakat használó kiterjesztések létrehozása. A fejlesztők megköszönik a RIPS Technologies munkatársainak, Simon Scannellnek és Robin Peraglienek a hiba bejelentését. A hiba azonosítószáma CVE-2018-19274.
A kiadás többek között PHP 7.2-vel való kompatibilitási javítást, valamint az újonnan regisztrált felhasználók csoportból való többszörös eltávolítás javítását is tartalmazza.
Említésre méltó változtatás továbbá, hogy a phpBB által küldött e-mailekhez hozzáadásra került egy leiratkozási fejléc, valamint a felhasználónév megadása nélküli jelszó helyreállítás lehetősége.
A fejlesztők megköszönik a kiadás elkészítésében való részvételt a következő személyeknek: Jakub Senko, MikelAlejoBR, kasimi, Zoddo, v12mike, hubaishan, 3D-I, Matt Friedman, Kailey Truscott, Alec, Alex Miles, Andrii Afanasiev, Anssi Johansson, DSR!, Daniel, Dark❶, David Colón, Ioannis Batas, Jim Mossing Holsteyn, Serge Skripchuk, Toxyy, rxu.
A változtatások teljes listája megtalálható angolul a csomagok docs könyvtárában, a főbb változtatások a phpBB.com wiki-jében, a javított hibák pedig a phpBB.com hibakövető rendszerében. A fejlesztők várják az angol nyelvű kérdéseket vagy megjegyzéseket a kiadás phpBB.com témájában.
Az automatikus frissítő csomagokkal kapcsolatos változás, hogy azoknál a fórumoknál, ahol a phpBB alap fájljai nem kerültek módosításra, ezentúl a teljes csomaggal történő frissítés javasolt. Az automatikus frissítő csomagra csak abban az esetben van szükség, ha a phpBB alap fájljai is módosultak.
A teljes verzió és a nyelvi fájlok tőlünk, a frissítő csomagok pedig a phpBB.com oldaláról tölthetőek le. Ez utóbbi helyről az automatikus frissítő csomagon (Automatic Update Package) kívül többféle frissítő csomag is elérhető. Ne felejtsétek el frissíteni a nyelvi fájlokat se!
A nyelvi fájlokkal kapcsolatos észrevételeiteket, javaslataitokat szívesen fogadjuk Fordítási hibabejelentőnkben és a fordításunk GitHub oldalán!
Az előző verziókhoz hasonlóan elérhető a 3.2.3-3.2.4 automatikus frissítő csomag magyar fordításokat tartalmazó változata is.
A biztonsági hibát egy új, Phar deserialization nevű támadási technika használatával fedezték fel. Ennek segítségével egy alapító jogú adminisztrátor felhasználóhoz hozzáférő támadó távoli kódfuttatást érhet el a PHP nyelv Phar fájlok metaadatát érintő deszerializációs hibája miatt. További információ a technikáról angol nyelven a RIPS Technologies oldalán olvasható.
A hiba javításához eltávolításra került az Adminisztrátori vezérlőpultról az abszolút elérési utak megadási lehetősége. Ezzel együtt az ImageMagick elérési útjának megadási lehetősége is törlésre került, emiatt a PHP GD képmanipuláló könyvtárának elérhetőnek kell lennie. Az ImageMagick helyettesítésére egy új kiskép generálási esemény került hozzáadásra, amit felhasználva lehetséges más kép módosító programkönyvtárakat használó kiterjesztések létrehozása. A fejlesztők megköszönik a RIPS Technologies munkatársainak, Simon Scannellnek és Robin Peraglienek a hiba bejelentését. A hiba azonosítószáma CVE-2018-19274.
A kiadás többek között PHP 7.2-vel való kompatibilitási javítást, valamint az újonnan regisztrált felhasználók csoportból való többszörös eltávolítás javítását is tartalmazza.
Említésre méltó változtatás továbbá, hogy a phpBB által küldött e-mailekhez hozzáadásra került egy leiratkozási fejléc, valamint a felhasználónév megadása nélküli jelszó helyreállítás lehetősége.
A fejlesztők megköszönik a kiadás elkészítésében való részvételt a következő személyeknek: Jakub Senko, MikelAlejoBR, kasimi, Zoddo, v12mike, hubaishan, 3D-I, Matt Friedman, Kailey Truscott, Alec, Alex Miles, Andrii Afanasiev, Anssi Johansson, DSR!, Daniel, Dark❶, David Colón, Ioannis Batas, Jim Mossing Holsteyn, Serge Skripchuk, Toxyy, rxu.
A változtatások teljes listája megtalálható angolul a csomagok docs könyvtárában, a főbb változtatások a phpBB.com wiki-jében, a javított hibák pedig a phpBB.com hibakövető rendszerében. A fejlesztők várják az angol nyelvű kérdéseket vagy megjegyzéseket a kiadás phpBB.com témájában.
Az automatikus frissítő csomagokkal kapcsolatos változás, hogy azoknál a fórumoknál, ahol a phpBB alap fájljai nem kerültek módosításra, ezentúl a teljes csomaggal történő frissítés javasolt. Az automatikus frissítő csomagra csak abban az esetben van szükség, ha a phpBB alap fájljai is módosultak.
A teljes verzió és a nyelvi fájlok tőlünk, a frissítő csomagok pedig a phpBB.com oldaláról tölthetőek le. Ez utóbbi helyről az automatikus frissítő csomagon (Automatic Update Package) kívül többféle frissítő csomag is elérhető. Ne felejtsétek el frissíteni a nyelvi fájlokat se!
A nyelvi fájlokkal kapcsolatos észrevételeiteket, javaslataitokat szívesen fogadjuk Fordítási hibabejelentőnkben és a fordításunk GitHub oldalán!
Az előző verziókhoz hasonlóan elérhető a 3.2.3-3.2.4 automatikus frissítő csomag magyar fordításokat tartalmazó változata is.
Nem készíthetsz új témákat ebben a fórumban.
Nem válaszolhatsz egy témára ebben a fórumban.
Nem módosíthatod a hozzászólásaidat a fórumban.
Nem törölheted a hozzászólásaidat a fórumban.
Nem szavazhatsz ebben fórumban.
Nem válaszolhatsz egy témára ebben a fórumban.
Nem módosíthatod a hozzászólásaidat a fórumban.
Nem törölheted a hozzászólásaidat a fórumban.
Nem szavazhatsz ebben fórumban.