Ruim drie weken na de kritieke 2.0.16 uitgave komt phpBB weer met nieuw service onderhoud, dit keer ook weer als vanouds voorzien van een beveiligings bugfix. Niet zo gevaarlijk als de meeste voorgaande, maar wel degelijk belangrijk genoeg om snel gerepareerd te worden. Deze nieuwe versie is als "no, we did not forget naming it last time" bestempeld door het team en lapt tevens een heel scala aan diverse nieuw ontdekte functionaliteits foutjes.
Updaten
Zoals altijd wordt onmiddelijk updaten sterk aangeraden. Ben je niet in staat om direct de complete code verandering door te voeren op je forum, voer dan tenminste deze twee belangrijke code wijzigingen door ter bescherming van je forum tegen kwaadwillenden.
Open
includes/bbcode.php
Vind
Code: Selecteer alles
$patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url1'];
// [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
$patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url2'];
// [url=xxxx://www.phpbb.com]phpBB[/url] code..
$patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url3'];
// [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
$patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";Code: Selecteer alles
$patterns[] = "#\[url\]([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url1'];
// [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
$patterns[] = "#\[url\]((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url2'];
// [url=xxxx://www.phpbb.com]phpBB[/url] code..
$patterns[] = "#\[url=([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url3'];
// [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
$patterns[] = "#\[url=((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";Code: Selecteer alles
$ret = preg_replace("#(^|[\n ])([\w]+?://[^ \"\n\r\t<]*)#is", "\\1<a href=\"\\2\" target=\"_blank\">\\2</a>", $ret);
// matches a "www|ftp.xxxx.yyyy[/zzzz]" kinda lazy URL thing
// Must contain at least 2 dots. xxxx contains either alphanum, or "-"
// zzzz is optional.. will contain everything up to the first space, newline,
// comma, double quote or <.
$ret = preg_replace("#(^|[\n ])((www|ftp)\.[^ \"\t\n\r<]*)#is", "\\1<a href=\"http://\\2\" target=\"_blank\">\\2</a>", $ret);Code: Selecteer alles
$ret = preg_replace("#(^|[\n ])([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href=\"\\2\" target=\"_blank\">\\2</a>", $ret);
// matches a "www|ftp.xxxx.yyyy[/zzzz]" kinda lazy URL thing
// Must contain at least 2 dots. xxxx contains either alphanum, or "-"
// zzzz is optional.. will contain everything up to the first space, newline,
// comma, double quote or <.
$ret = preg_replace("#(^|[\n ])((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href=\"http://\\2\" target=\"_blank\">\\2</a>", $ret);Discussiëren- Verbeterde verwijderingscontrole in privmsg.php - party_fan
- XSS lek (alleen van toepassing op Internet Explorer) gedicht in de url BBCode tag
- Lek gedicht in het activeren van accounts als administrator wanneer deze mode is geactiveerd - ieure
- Gedicht lek in get_username bij het retourneren van de verkeerde rij wanneer deze begint met een numeriek teken - Ptirhiik
- Verbetering in het doorvoeren van een gebruikersnaam door phpbb_clean_username binnen de validate_username functie - AnthraX101
- Gedicht PHP error lek in de message_die functie
- Gedicht lek in het incorrect genereren van de {postrow.SEARCH_IMG} button in viewtopic.php - Double_J
- Bovenstaand probleem tevens gerepareerd in usercp_viewprofile.php
- Verbeterd verkeerd zetten van het user_level op afwachtende groepsleden verbeterd, wanneer een groep moderatierechten toebedeeld krijgt- halochat
- Verbeterde fout in het foutief ordenen van forums in admin_ug_auth.php, om deze te stroomlijnen met andere pagina's
- Het bijwerken van de gebruikersnamen van posts van verwijderde leden is verbeterd
Doen we reeds hier.