Вийшла нова версія phpBB 3.0.8

Прочитайте перед тим, як розміщувати повідомлення!
Відповісти
Аватар користувача
Support
Адміністратор сайту
Повідомлень: 231
З нами з: 03 грудня 2007, 23:34
Звідки: Lutsk
Контактна інформація:

Вийшла нова версія phpBB 3.0.8

Повідомлення Support »

Шановні користувачі!

phpBB Group з радістю представляє реліз phpBB 3.0.8 з умовною назвою "Терпіння - чеснота". Цей випуск покликаний закрити безліч недоробок, а також поліпшити зручність використання та продуктивність. Також, даний випуск закриває виявлену нещодавно дірку безпеки, що дозволяла, якщо була активована підтримка BB-коду [flash], виконувати міжсайтовий скриптінг в браузерах на движку WebKit (Safari, Chrome) і Opera.

Щоб закрити цю вразливість у версії 3.0.7, відкрийте / includes / message_parser.php в районі 354 рядка і перед:

Код: Виділити все

// Apply the same size checks on flash files as on images
додайте:

Код: Виділити все

$in = str_replace(' ', '%20', $in);

      // Make sure $in is a URL.
      if (!preg_match('#^' . get_preg_expression('url') . '$#i', $in) &&
         !preg_match('#^' . get_preg_expression('www_url') . '$#i', $in))
      {
         return '[flash=' . $width . ',' . $height . ']' . $in . '[/flash]';
      }
Це виправлення не торкнеться вже існуючих на вашому форумі повідомлень. Щоб перевірити наявні повідомлення на предмет даної уразливості, скопіюйте наступний код:

Код: Виділити все

// taken from support toolkit
// Returns the utf string corresponding to the unicode value (from php.net, courtesy - romans@void.lv)
function code2utf8($num)
{
	if ($num < 128) return chr($num);
	if ($num < 2048) return chr(($num >> 6) + 192) . chr(($num & 63) + 128);
	if ($num < 65536) return chr(($num >> 12) + 224) . chr((($num >> 6) & 63) + 128) . chr(($num & 63) + 128);
	if ($num < 2097152) return chr(($num >> 18) + 240) . chr((($num >> 12) & 63) + 128) . chr((($num >> 6) & 63) + 128) . chr(($num & 63) + 128);
	return '';
}
Потім збережіть його у файл з промовистою ім'ям і розширенням .php
(наприклад scan-fix.php), завантажте в кореневу директорію вашого phpBB (де у вас лежить config.php) і запустіть цей файл через браузер.
У самий найближчий час вийде оновлена версія Support Toolkit, в яку буде внесено це скрипт. Ми будемо тримати вас у курсі.

Крім того, в цьому випуску виправлена проблема, що дозволяла спамерам в деяких випадках обманювати плагін reCaptcha. Спасибі EvilZone.org за повідомлення про проблему.

phpBB Group також висловлює подяку всім, хто брав участь у виправленнях, внесених до цього випуск:
Adam Reyher, Chris Sfanos, Cristian Rodriguez, Cullen Walsh, David Ward, Gabriel Vazquez, Marc Alexander, Mark, mrkurt, narqelion, Nick Anderegg, Oleg Pudeyev, Patrick W, Paul Sohier, Richard Foote, RMcGirr83, Rob House, SA007, Tabitha Backoff, Thatbitextra, UH-PC \ H і Yuriy Rusko.

Настійно рекомендуємо вам оновитися в самий найближчий час, так як всі попередні версії з даного моменту вважаються непідтримуваними!

З повним списком змін змін можна ознайомитися тут.

У нашому файловому сховищі для скачування доступні наступні пакети:
phpBB 3.0.8 (англ.)
Мовний пакет phpBB 3.0.8 (укр.)
Відповісти