AmigaLink.de

[AmigaLink]

Ankündigung auf phpbb.com
Ankündigung auf phpbb.de
Ankündigung auf phpbb2.de

[AmigaLink]

Hallo alle miteinander,

Die phpBB Group hat die Version 2.0.17 von phpBB freigegeben, die "no, we did not forget naming it last time" Version. Diese Version enthält mehrere Bugfixes, schließt sowohl einige weniger problematische Sicherheitslücken als auch die in letzter Zeit immer häufiger in Erscheinung tretende XSS Schwachstelle (betrifft nur den Internet Explorer).

Die Code Änderungen zum schließen der XSS Lücke sind weiter unten zu finden. Die phpBB Group ist wieder einmal erstaunt über die Energie mit der Leute nach den kleinsten Risiken in phpBB 2.0.x suchen, die wirklich eine Menge Zeit haben müssen. Andererseits wird wieder einmal die Sicherheit der Software gesteigert, da keine neuen Funktionen in den 2.0.x Code eingebaut werden.

In dieser Ankündigung möchte ich euch außerdem einige weitere Informationen zur Sicherheit von phpBB geben. psoTFX (Paul S. Owen, Projekt Manager) hat eine komplette Sicherheitsprüfung für den 2.0.x Quellcode initiiert und konzipiert. An dieser Prüfung nehmen einige erstklassige Sicherheitsexperten, phpBB-Modder und sehr talentierte Mitglieder unserer Teams teil. Wir haben uns vorgenommen, die nötigen Änderungen zu implementieren und auch die gefundenen Probleme zu lösen und hoffen, dem mittlerweile sehr alten Code (er ist immernoch auf dem technischen Stand von vor 3 Jahren) somit ein Lifting verpassen zu können und ihn mit heutigen Sicherheitsmechanismen und -techniken ausstatten zu können.

Außerdem haben wir vor, unser privates Bugtracking System der Öffentlichkeit zum Berichten von 2.0.x Bugs in den nächsten Tagen zur Verfügung zu stellen.

Die phpBB Group

(Übersetzung von naderman)

[khaledelmansoury]

Die phpBB Group hat die Version 2.0.17 von phpBB freigegeben.
Wir empfehlen dringend auf die neue Version zu updaten. Zumindest sollte der Patch für die bbcode.php eingebaut werden. (siehe unten)

Die deutschen Pakete von phpBB 2.0.17 gibt es wie immer hier. Die Änderungen als MOD-Anleitung gibt es hier.

naderman hat für euch die Ankündigung von phpbb.com übersetzt:

Hallo alle miteinander,

Die phpBB Group hat die Version 2.0.17 von phpBB freigegeben, die "no, we did not forget naming it last time" Version. Diese Version enthält mehrere Bugfixes, schließt sowohl einige weniger problematische Sicherheitslücken als auch die in letzter Zeit immer häufiger in Erscheinung tretende XSS Schwachstelle (betrifft nur den Internet Explorer).

Die Code Änderungen zum schließen der XSS Lücke sind weiter unten zu finden. Die phpBB Group ist wieder einmal erstaunt über die Energie mit der Leute nach den kleinsten Risiken in phpBB 2.0.x suchen, die wirklich eine Menge Zeit haben müssen. Andererseits wird wieder einmal die Sicherheit der Software gesteigert, da keine neuen Funktionen in den 2.0.x Code eingebaut werden.

In dieser Ankündigung möchte ich euch außerdem einige weitere Informationen zur Sicherheit von phpBB geben. psoTFX (Paul S. Owen, Projekt Manager) hat eine komplette Sicherheitsprüfung für den 2.0.x Quellcode initiiert und konzipiert. An dieser Prüfung nehmen einige erstklassige Sicherheitsexperten, phpBB-Modder und sehr talentierte Mitglieder unserer Teams teil. Wir haben uns vorgenommen, die nötigen Änderungen zu implementieren und auch die gefundenen Probleme zu lösen und hoffen, dem mittlerweile sehr alten Code (er ist immernoch auf dem technischen Stand von vor 3 Jahren) somit ein Lifting verpassen zu können und ihn mit heutigen Sicherheitsmechanismen und -techniken ausstatten zu können.

Außerdem haben wir vor, unser privates Bugtracking System der Öffentlichkeit zum Berichten von 2.0.x Bugs in den nächsten Tagen zur Verfügung zu stellen.

Die phpBB Group

Änderungen:



Added extra checks to the deletion code in privmsg.php - reported by party_fan


Fixed XSS issue in IE using the url BBCode


Fixed admin activation so that you must have administrator rights to activate accounts in this mode - reported by ieure


Fixed get_username returning wrong row for usernames beginning with numerics - reported by Ptirhiik


Pass username through phpbb_clean_username within validate_username function - AnthraX101


Fixed PHP error in message_die function


Fixed incorrect generation of {postrow.SEARCH_IMG} tag in viewtopic.php - reported by Double_J


Also fixed above issue in usercp_viewprofile.php


Fixed incorrect setting of user_level on pending members if a group is granted moderator rights - reported by halochat


Fixed ordering of forums on admin_ug_auth.php to be consistant with other pages


Correctly set username on posts when deleting a user from the admin panel



Der Patch für die includes/bbcode.php:
Finde (Zeile 203):

Code: Alles auswählen

   $patterns[] = "#\[url\]([\w]+?://[^ "\n\r\t<]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url1'];

   // [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url\]((www|ftp)\.[^ "\n\r\t<]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url2'];

   // [url=xxxx://www.phpbb.com]phpBB[/url] code..
   $patterns[] = "#\[url=([\w]+?://[^ "\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url3'];

   // [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url=((www|ftp)\.[^ "\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";

Ersetze mit:

Code: Alles auswählen

   $patterns[] = "#\[url\]([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url1'];

   // [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url\]((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url2'];

   // [url=xxxx://www.phpbb.com]phpBB[/url] code..
   $patterns[] = "#\[url=([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url3'];

   // [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url=((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is"; 

Finde (Zeile 627):

$ret = preg_replace("#(^|[\n ])([\w]+?://[^ "\n\r\t<]*)#is", "\\1<a href="\\2" target="_blank">\\2</a>", $ret);

// matches a "www|ftp.xxxx.yyyy[/zzzz]" kinda lazy URL thing
// Must contain at least 2 dots. xxxx contains either alphanum, or "-"
// zzzz is optional.. will contain everything up to the first space, newline,
// comma, double quote or <.
$ret = preg_replace("#(^|[\n ])((www|ftp)\.[^ "\t\n\r<]*)#is", "\\1<a href="http://\\2" target="_blank">\\2</a>", $ret);

Ersetze mit:

Code: Alles auswählen

   $ret = preg_replace("#(^|[\n ])([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href="\\2" target="_blank">\\2</a>", $ret);

   // matches a "www|ftp.xxxx.yyyy[/zzzz]" kinda lazy URL thing
   // Must contain at least 2 dots. xxxx contains either alphanum, or "-"
   // zzzz is optional.. will contain everything up to the first space, newline,
   // comma, double quote or <.
   $ret = preg_replace("#(^|[\n ])((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href="http://\\2" target="_blank">\\2</a>", $ret);