Вихід PhpBB 3.2.1
Додано: 07 серпня 2017, 13:22
Ми раді оголосити про випуск phpBB 3.2.1 "Війна на планеті Берті". Дана версія призначена як для усунення помилок, так і трьох вразливостей, виявлених у версії 3.2.x, зокрема:
- підміни запиту на стороні сервера (SSRF) через систему завантаження віддалених аватар для пошуку послуг у внутрішніх і зовнішніх мережах, а також для отримання файлів зображень, доступ до яких зазвичай обмежений;
- міжсайтового скриптинга (XSS) через файли перевірки актуальності версій, що дозволяло змусити користувача переходити за посиланнями з Javascript;
- можливих атак, пов'язаних з підвищенням навантаження на сервер, за допомогою спеціальноим чином складених пошукових запитів при використанні пошукового межанізма MySQL fulltext search (повнотекстовий пошук MySQL).
Нові можливості:
Система перевірки версій тепер підтримує різні гілки розробки, що надає користувачеві більше корисної інформації про розширення.
Найбільш помітні зміни:
Оновлені до останніх версій сторонні компоненти, в тому числі Symfony, Twig, Textformatter.
Значки в стилі Prosilver тепер мають високу роздільну здатність.
Також додано 36 нових подій ядра і 24 нових події шаблону.
Важливі виправлення:
Виправлено конструктор класу, що відповідає за оновлення файлів нової версії по FTP.
Виправлені різні недоліки при відображенні BBCode і смайликів за допомогою Textformatter.
Виправлена проблема з оновленням з версій молодше ніж 3.0.6, пов'язана з залежностями міграцій.
Виправлена проблема з оновленням на серверах, що використовують PostgreSQL.
- підміни запиту на стороні сервера (SSRF) через систему завантаження віддалених аватар для пошуку послуг у внутрішніх і зовнішніх мережах, а також для отримання файлів зображень, доступ до яких зазвичай обмежений;
- міжсайтового скриптинга (XSS) через файли перевірки актуальності версій, що дозволяло змусити користувача переходити за посиланнями з Javascript;
- можливих атак, пов'язаних з підвищенням навантаження на сервер, за допомогою спеціальноим чином складених пошукових запитів при використанні пошукового межанізма MySQL fulltext search (повнотекстовий пошук MySQL).
Нові можливості:
Система перевірки версій тепер підтримує різні гілки розробки, що надає користувачеві більше корисної інформації про розширення.
Найбільш помітні зміни:
Оновлені до останніх версій сторонні компоненти, в тому числі Symfony, Twig, Textformatter.
Значки в стилі Prosilver тепер мають високу роздільну здатність.
Також додано 36 нових подій ядра і 24 нових події шаблону.
Важливі виправлення:
Виправлено конструктор класу, що відповідає за оновлення файлів нової версії по FTP.
Виправлені різні недоліки при відображенні BBCode і смайликів за допомогою Textformatter.
Виправлена проблема з оновленням з версій молодше ніж 3.0.6, пов'язана з залежностями міграцій.
Виправлена проблема з оновленням на серверах, що використовують PostgreSQL.