Olá a todos,
Temos o prazer de anunciar o lançamento do phpBB 3.3.17 “Young Bertie”. Esta versão é uma atualização de manutenção e segurança do branch 3.3.x que corrige quatro vulnerabilidades de segurança. Por favor, atualize para esta nova versão o mais rápido possível.
O phpBB 3.3.17 também adiciona reforços adicionais de segurança, introduz melhorias no fluxo do OAuth e resolve alguns problemas identificados em versões anteriores.
A verificação inadequada de permissões de acesso ao definir privilégios no ACP (Painel de Administração) poderia permitir que um administrador mal-intencionado excedesse o nível de permissão que lhe foi concedido. Gostaríamos de agradecer ao UdinChan por nos reportar este problema através do HackerOne.
Outro problema potencial afetava uma migração de campo de perfil que não tratava os dados do usuário adequadamente, o que poderia resultar em uma potencial injeção de SQL (SQL injection) por meio dos dados do campo de perfil. Isso afetava apenas fóruns phpBB que foram atualizados de versões anteriores à 3.3.8 e que ainda não tinham sido atualizados para a versão 3.3.11 ou mais recente. Gostaríamos de agradecer ao Anteater (giant_anteater) por nos reportar este problema através do HackerOne.
Além disso, duas verificações incorretas distintas na implementação anterior do OAuth poderiam ser utilizadas para sequestrar contas de usuários. Uma delas não exigia que o OAuth estivesse configurado ou ativado. Gostaríamos de agradecer à Aikido Security (aikido.dev) por nos reportar através do HackerOne, bem como a Dan Stefan Alexandru da Pentest-Tools.com e Himanshu Anand por nos reportar via e-mail.
Ao melhorar o código do OAuth, optamos por refatorar parcialmente a implementação atual para resolver alguns problemas conhecidos adicionais com as URLs de redirecionamento e, em vez disso, movemos o fluxo de trabalho do OAuth para usar controladores (controllers). Como efeito colateral dessa mudança, você precisará ajustar a URI de redirecionamento no seu provedor OAuth. Anteriormente, a implementação do OAuth exigia duas URIs de redirecionamento. Para o Google, por exemplo, era assim:
Com as mudanças da refatoração, isso mudará para, por exemplo:
Se você tiver a reescrita de URL (URL rewriting) ativada, também poderá omitir a parte
Foram introduzidos reforços adicionais de segurança para consultas de hostname e para a verificação de referenciador (referrer) em downloads seguros.
Uma correção de bug notável nesta versão resolve um problema potencial com a desinstalação de extensões que foi introduzido com as mudanças recentes no phpBB 3.3.16. Além disso, um problema de instalação durante a etapa de verificação do sistema de arquivos foi resolvido.
A lista completa de alterações está disponível no arquivo changelog dentro da pasta docs contida no pacote de lançamento. Você pode encontrar os principais destaques deste lançamento abaixo e uma lista de todos os problemas corrigidos em nosso rastreador em https://tracker.phpbb.com/issues/?filter=16990
Os pacotes podem ser baixados em nossa página de downloads.
A tradução para Português Brasileiro pode ser baixada na Página Oficial da Tradução
A equipe de desenvolvimento agradece a todos que contribuíram com código para este lançamento: Kailey M. Snay, Matt Friedman, Christian Schnegelberger
A Equipe phpBB
Temos o prazer de anunciar o lançamento do phpBB 3.3.17 “Young Bertie”. Esta versão é uma atualização de manutenção e segurança do branch 3.3.x que corrige quatro vulnerabilidades de segurança. Por favor, atualize para esta nova versão o mais rápido possível.
O phpBB 3.3.17 também adiciona reforços adicionais de segurança, introduz melhorias no fluxo do OAuth e resolve alguns problemas identificados em versões anteriores.
A verificação inadequada de permissões de acesso ao definir privilégios no ACP (Painel de Administração) poderia permitir que um administrador mal-intencionado excedesse o nível de permissão que lhe foi concedido. Gostaríamos de agradecer ao UdinChan por nos reportar este problema através do HackerOne.
Outro problema potencial afetava uma migração de campo de perfil que não tratava os dados do usuário adequadamente, o que poderia resultar em uma potencial injeção de SQL (SQL injection) por meio dos dados do campo de perfil. Isso afetava apenas fóruns phpBB que foram atualizados de versões anteriores à 3.3.8 e que ainda não tinham sido atualizados para a versão 3.3.11 ou mais recente. Gostaríamos de agradecer ao Anteater (giant_anteater) por nos reportar este problema através do HackerOne.
Além disso, duas verificações incorretas distintas na implementação anterior do OAuth poderiam ser utilizadas para sequestrar contas de usuários. Uma delas não exigia que o OAuth estivesse configurado ou ativado. Gostaríamos de agradecer à Aikido Security (aikido.dev) por nos reportar através do HackerOne, bem como a Dan Stefan Alexandru da Pentest-Tools.com e Himanshu Anand por nos reportar via e-mail.
Ao melhorar o código do OAuth, optamos por refatorar parcialmente a implementação atual para resolver alguns problemas conhecidos adicionais com as URLs de redirecionamento e, em vez disso, movemos o fluxo de trabalho do OAuth para usar controladores (controllers). Como efeito colateral dessa mudança, você precisará ajustar a URI de redirecionamento no seu provedor OAuth. Anteriormente, a implementação do OAuth exigia duas URIs de redirecionamento. Para o Google, por exemplo, era assim:
https://{sua_URL_do_forum}/ucp.php?mode=login&login=external&oauth_service=googlehttps://{sua_URL_do_forum}/ucp.php?i=ucp_auth_link&mode=auth_link&link=1&oauth_service=googleCom as mudanças da refatoração, isso mudará para, por exemplo:
https://{sua_URL_do_forum}/app.php/user/oauth/authenticate/googleSe você tiver a reescrita de URL (URL rewriting) ativada, também poderá omitir a parte
app.php/. Uma segunda URI não é mais necessária. Você precisará atualizar a URI de redirecionamento nas configurações dos seus provedores OAuth, como Google ou Facebook.Foram introduzidos reforços adicionais de segurança para consultas de hostname e para a verificação de referenciador (referrer) em downloads seguros.
Uma correção de bug notável nesta versão resolve um problema potencial com a desinstalação de extensões que foi introduzido com as mudanças recentes no phpBB 3.3.16. Além disso, um problema de instalação durante a etapa de verificação do sistema de arquivos foi resolvido.
A lista completa de alterações está disponível no arquivo changelog dentro da pasta docs contida no pacote de lançamento. Você pode encontrar os principais destaques deste lançamento abaixo e uma lista de todos os problemas corrigidos em nosso rastreador em https://tracker.phpbb.com/issues/?filter=16990
Os pacotes podem ser baixados em nossa página de downloads.
A tradução para Português Brasileiro pode ser baixada na Página Oficial da Tradução
A equipe de desenvolvimento agradece a todos que contribuíram com código para este lançamento: Kailey M. Snay, Matt Friedman, Christian Schnegelberger
A Equipe phpBB