Sortie de phpBB 3.2.4 "Le‘ stache de Bertie '' ". Cette version est une version de maintenance et de sécurité de la branche 3.2.x qui résout un problème de sécurité et divers problèmes signalés dans les versions précédentes.
Le problème de sécurité a été découvert avec une nouvelle technique d’exploitation appelée désérialisation de Phar. Un attaquant disposant du contrôle sur un compte d'administrateur fondateur pourrait passer à l'exécution de code à distance en abusant de la non-sérialisation par défaut des métadonnées dans les fichiers Phar de PHP. Plus d'informations sur cette technique peuvent être trouvées ici. Afin de résoudre ce problème, phpBB a supprimé la possibilité de définir des chemins absolus dans le Panneau de configuration de l'administrateur. Cela a entraîné la suppression de la définition du chemin ImageMagick. Assurez-vous donc que la bibliothèque d'images GD est disponible. Un nouvel événement permettant de générer des vignettes a été ajouté à la place du remplacement. Vous pouvez donc écrire une extension utilisant une autre bibliothèque d’images pour générer des vignettes.
Les problèmes résolus incluent, entre autres, des problèmes de compatibilité avec PHP 7.2 et des problèmes liés à la suppression d'utilisateurs plus d'une fois du groupe d'utilisateurs récemment enregistré. Parmi les changements notables, citons l'ajout de l'en-tête list-unsubscribe aux emails envoyés par phpBB et la possibilité de réinitialiser votre mot de passe sans entrer le nom d'utilisateur....................
Lire la suite sur le forum de phpBB (english)
Télécharger les mises à jour de la version 3.2.4