PC Toledo

Saudações a todos,

Temos o prazer de anunciar o lançamento do phpBB 3.3.16 “Bertie de uniforme”. Esta versão é uma atualização de manutenção e segurança da ramificação 3.3.x, que corrige três problemas de segurança, introduz diversas melhorias com o objetivo de aprimorar a experiência do usuário e a estabilidade geral do software, além de resolver alguns problemas observados em versões anteriores.

Em versões anteriores, o phpBB dependia de informações do servidor web para construir a URL do link de redefinição de senha. Dependendo da configuração do phpBB e do servidor, essas informações podem não ser filtradas corretamente, o que poderia resultar no envio de URLs controladas por atacantes como URLs de e-mail de redefinição de senha. Gostaríamos de agradecer a Seong Hun Jeong (HunSec) por nos relatar esse problema no HackerOne.

Além disso, verificações de acesso inadequadas ao citar mensagens privadas permitiam que usuários acessassem mensagens marcadas como excluídas temporariamente ou não aprovadas, mesmo que essas mensagens normalmente não sejam visíveis para os respectivos usuários. Foi detectado outro problema com verificações incorretas de chaves de formulário na funcionalidade de publicação de relatórios, o que poderia ser potencialmente usado para enviar relatórios em nome de um usuário sem o seu consentimento ou intenção. Gostaríamos de agradecer à Equipe do Laboratório de Segurança do GitHub por nos reportar esses dois problemas.

Além disso, foi descoberta uma verificação incorreta ao marcar as notificações do fórum como lidas. Isso poderia ser potencialmente usado para alterar o estado de leitura das notificações do fórum para outros usuários. Gostaríamos de agradecer a Liao Shuang por nos reportar esse problema.

Foram adicionadas medidas adicionais de segurança para o download de anexos, com melhorias no tratamento de imagens não rasterizadas para evitar possíveis ataques XSS em servidores web mal configurados.

As melhorias no phpBB 3.3.16 incluem a reintrodução da autenticação para feeds RSS/Atom, bem como a adição da capacidade de reiniciar o instalador, por exemplo, em caso de problemas durante o processo de instalação.

Correções de bugs importantes nesta versão incluem correções adicionais para a exibição de posts em ordem crescente, que poderia resultar em uma exibição fora da ordem cronológica, problemas com a reversão de algumas migrações e um possível erro fatal ao baixar arquivos com um intervalo de bytes específico. Além disso, as consultas WHOIS pararam de retornar detalhes como país ou provedor. Com os ajustes, o phpBB agora é compatível com o estado atual dos serviços ARIN/RIPE e retornará esses detalhes novamente.

Ao preparar sua atualização, leia também estas informações importantes:
[Importante] Verifique o nome do domínio antes de atualizar para a versão 3.3.16

A lista completa de alterações está disponível no arquivo changelog dentro da pasta docs contida no pacote de lançamento. Você pode encontrar os principais destaques desta versão abaixo e uma lista de todos os problemas corrigidos em nosso rastreador em https://tracker.phpbb.com/issues/?filter=16890

Os pacotes podem ser baixados em nossa página de downloads.

A equipe de desenvolvimento agradece a todos que contribuíram com código para esta versão: Matt Friedman, rxu, Kailey M. Snay, battye, Daniel James, Christian Schnegelberger, LukeWCS, Neo-CTC, IdfbAn, Patrick Webster, Robert Korulczyk, cabot.

Caso tenha alguma dúvida ou comentário, teremos prazer em respondê-los no tópico de discussão.

- A Equipe phpBB