Goedemiddag allemaal,
Gisteren heeft de phpBB groep phpBB versie 3.2.4 uitgebracht. Dit is een onderhoudsrelease die vele fouten oplost maar bevat ook een oplossing voor een beveiligingsprobleem, het is dus zaak dat alle forums snel geüpdatet worden.
Het opgeloste beveiligingsprobleem is gevonden door middel van een nieuwe aanvalstechniek, Phar deserialisatie. Een externe aanvaller die controle heeft over een beheerdersaccount met eigenaarsrechten kon willekeurige code uitvoeren door een zwakte in PHP's standaard deserialisatie van metadata in Phar-bestanden. Meer informatie over deze specifieke techniek kan hier gevonden worden (Engels).
Om dit probleem te verhelpen heeft de phpBB groep de mogelijkheid om absolute paden aan te geven in het Beheerderspaneel verwijderd. Dit heeft geresulteerd in het verwijderen van de handmatige instelling van het ImageMagick pad, dus zorg ervoor dat de GD afbeeldingslibrary wel beschikbaar is. Er is ook een nieuw event toegevoegd om thumbnails te genereren als vervanging voor de verwijdering van deze optie. Zo kunnen forumbeheerders ook een extensie schrijven als zij toch andere afbeeldingslibrary's willen gebruiken om de thumbnails te genereren. Wij willen net als de phpBB Groep graag Simon Scannell en Robin Peragile van RIPS Technologies bedanken voor hun melding en voor hun verantwoordelijke omgang met het door hen gevonden probleem. Dit probleem heeft CVE-2018-19274 aangewezen gekregen.
De opgeloste fouten zijn, onder andere, compatibiliteitsproblemen met PHP 7.2 en fouten bij het meermaals verwijderen van gebruikers uit de Nieuw geregistreerde gebruikersgroep.
Onder de opvallende veranderingen zitten onder andere de toevoeging van de list-unsubscribe header bij e-mails verzonden door phpBB en de mogelijkheid om je wachtwoord te herstellen zonder de gebruikersnaam in te hoeven voeren.
De volledige lijst met veranderingen kan gevonden worden in de docs map van phpBB zelf, een lijst met de meest opvallende veranderingen is te vinden in de phpBB Wiki en een lijst met veranderingen die via de Bug Tracker zijn opgelost staan in de Tracker zelf.
De nieuwe pakketten en de Nederlandse vertaling zullen zeer binnenkort op de phpBB.nl Downloads pagina verschijnen. Tot die tijd kan de nieuwe versie gedownload worden via phpBB.com.
Wij willen, net als het ontwikkelaarsteam, iedereen die code aan deze versie heeft bijgedragen bedanken: Jakub Senko, MikelAlejoBR, kasimi, Zoddo, v12mike, hubaishan, 3D-I, Matt Friedman, Kailey Truscott, Alec, Alex Miles, Andrii Afanasiev, Anssi Johansson, DSR!, Daniel, Dark❶, David Colón, Ioannis Batas, Jim Mossing Holsteyn, Serge Skripchuk, Toxyy, rxu
Deze release kan bediscussieerd worden in dit discussieonderwerp. Voor specifieke vragen helpen wij graag in de support forums.
- Het phpBB.nl Team
phpBB 3.2.4 uitgebracht - graag updaten!
phpBB 3.2.4 uitgebracht - graag updaten!
Jim Mossing Holsteyn - Beheerder
Documentatie | Algemene voorwaarden | Wiki
Heb je suggesties over het verbeteren van phpBB.nl of andere site-gerelateerde vragen? Stuur me een PB!
Documentatie | Algemene voorwaarden | Wiki
Heb je suggesties over het verbeteren van phpBB.nl of andere site-gerelateerde vragen? Stuur me een PB!
Re: phpBB 3.2.4 uitgebracht - graag updaten!
De downloads voor phpBB 3.2.4 met de Nederlandse vertaling zijn nu te vinden op de downloads pagina.