phpBB.nl

Hallo allemaal,

Het phpBB team heeft de nieuwe phpBB versie 3.3.17 “Young Bertie” uitgebracht. Deze versie is een onderhouds- en veiligheidsrelease voor de 3.3.x branche waarin vier beveiligingsproblemen zijn opgelost. We raden aan om zo snel mogelijk te updaten naar deze nieuwe versie.

Daarnaast voegt phpBB 3.3.17 verdere beveiligingsverbeteringen (hardening) toe, introduceert het verbeteringen in de OAuth-flow en lost het enkele problemen op die in eerdere releases zijn opgemerkt.

De volgende kwetsbaarheden zijn verholpen:

• Door een onjuiste verificatie van toegangsrechten bij het instellen van permissies in het beheerderspaneel (ACP), kon een kwaadwillende beheerder zijn toegekende permissieniveau overschrijden. Wij danken UdinChan voor het melden van dit probleem via HackerOne.
• Een ander potentieel probleem betrof een migratie van profielvelden waarbij gebruikersgegevens niet adequaat werden verwerkt. Dit had kunnen leiden tot een mogelijke SQL-injectie via de profielveldgegevens. Dit had alleen invloed op phpBB-forums die waren geüpdatet vanaf versies vóór phpBB 3.3.8 en nog niet waren geüpdatet naar 3.3.11 of nieuwer. We danken Anteater (giant_anteater) voor het melden van dit probleem via HackerOne.
• Bovendien konden twee afzonderlijke onjuiste controles in de vorige OAuth-implementatie worden gebruikt om gebruikersaccounts over te nemen. Voor één hiervan hoefde OAuth niet geconfigureerd of ingeschakeld te zijn. We bedanken Aikido Security (aikido.dev) voor de melding via HackerOne, evenals Dan Stefan Alexandru van Pentest-Tools.com en Himanshu Anand voor hun meldingen via e-mail.

Tijdens het verbeteren van de OAuth-code is besloten om de huidige implementatie gedeeltelijk te herschrijven (refactoren) om enkele bekende problemen met de redirect-URL's op te lossen. De OAuth-workflow is verplaatst en maakt nu gebruik van controllers. Een bijkomend effect van deze verandering is dat je de redirect-URI voor je OAuth-provider moet aanpassen. Voorheen vereiste de OAuth-implementatie twee redirect-URI's. Voor Google was dit bijvoorbeeld:
https://{jouw_forum_URL}/ucp.php?mode=login&login=external&oauth_service=google
https://{jouw_forum_URL}/ucp.php?i=ucp_auth_link&mode=auth_link&link=1&oauth_service=google

Met de nieuwe wijzigingen verandert dit in bijvoorbeeld:
https://{jouw_forum_URL}/app.php/user/oauth/authenticate/google
Als je URL-herschrijven (URL rewriting) hebt ingeschakeld, kun je het gedeelte app.php/ ook weglaten. Een tweede URI is niet langer nodig. Je zult de redirect-URI moeten bijwerken in de instellingen bij je OAuth-aanbieders, zoals Google of Facebook.

Verdere verbeteringen en bugfixes in deze release omvatten:

• Extra beveiliging (hardening) voor hostname lookups en referer-controles bij veilige downloads.
• Een belangrijke bugfix verhelpt een potentieel probleem bij het deïnstalleren van extensies, dat was ontstaan door recente wijzigingen in phpBB 3.3.16.
• Een installatieprobleem tijdens de 'check filesystem'-stap is opgelost.

Zoals altijd is de volledige lijst met veranderingen te vinden in het changelog bestand in de docs map van het releasepakket. De highlights hiervan zijn te vinden in de phpBB.com mededeling. Ook een volledige lijst van alle opgeloste problemen is te vinden in de bug tracker.

De pakketten om deze versie te downloaden, samen met de Nederlandse vertaling, zijn te vinden op onze Downloads pagina.

Het phpBB ontwikkelaarsteam (en wij uiteraard ook) willen graag de volgende mensen bedanken die aan deze release hebben meegeholpen: Kailey M. Snay, Matt Friedman, Christian Schnegelberger

Deze release kan bediscussieerd worden in dit discussieonderwerp. Voor specifieke vragen helpen wij graag in de support forums.

- Het phpBB.nl team