Шановні користувачі phpBB!
Ми раді оголосити про випуск phpBB 3.2.4 "Вуса Берті". Даний реліз призначений для усунення проблеми безпеки і раніше виявлених помилок, а також ряду поліпшень.
Уразливість пов'язана з недавно виявленої новою технологією злому, що отримала назву Phar deserialization (десеріалізацію Phar). Зловмисник з обліковим записом засновника міг здійснити виконання коду, використовуючи стандартну функцію PHP для розпакування метаданих файлів Phar. Більш докладно технологія описана тут. Для усунення даної уразливості, була виключена можливість задавати абсолютні шляхи в адміністраторському розділі. В результаті видалена настройка шляху ImageMagick, тому переконайтеся в доступності бібліотеки GD на сервері. Додано нову подію для створення мініатюр зображень, тому можна написати розширення, що використовує різні бібліотеки для обробки зображень, щоб пересоздавать мініатюри. Команда phpBB Group дякує Симона Сканнелл (Simon Scannell) і Робіна Пераглі (Robin Peraglie) з RIPS Technologies за інформацію і відповідальний підхід. Уразливість отримала код CVE-2018-19274.
Серед інших виправлень - оновлені версії сторонніх бібліотек ядра і усунення ряду помилок при роботі з PHP версій 7.2 і вище.
покращення:
Оновлення залежностей до останніх версій (Symfony, Twig).
У email-повідомлення доданий заголовок list-unsubscribe.
Для функції "Забули пароль?" більше не потрібно вказувати ім'я облікового запису.
Найбільш помітні зміни:
Події шаблонів в розширеннях тепер можуть використовувати синтаксис Twig.
Найбільш важливі виправлення:
Рішення проблем в роботі та усунення ряду несовместимостей при роботі з PHP 7.2.
Виправлення помилки, в результаті якої користувачі не могли бути вилучені з групи "Нові користувачі" більш ніж один раз.
Також додані 19 нових подій ядра і 24 - шаблону.