Download phpBB 3.2.8

Information

23 Sept 2019

264

8 Mo

Information

phpBB.com a annoncé la sortie de phpBB 3.2.8. Cette version est dédiée à la mémoire de Maria Wilhelmina Theodora connue en tant que marian0810 sur phpBB.com et décédée le 18 septembre 2019.

Cette version est une version de maintenance qui fixe trois failles de sécurité et quelques remontées faites sur les précédentes versions.

Elle corrige notamment des failles qui permettaient de provoquer des actions non souhaitées. kevinoclam (via HackerOne) et Yuval Kanarenstein de "SecuriTeam Secure Disclosure" ont permis de résoudre les problèmes (références CVE-2019-16107 et CVE-2019-13376).

A cela s'ajoute une mauvaise validation des paramêtres de BBCode qui permettait de modifier l'attribut de style et d'injecter du code CSS à la page (Hanno Böck, CVE-2019-16108).

Pour plus de protection contre des potentielles attaques, l'entête Referrer-Policy a été ajouté et les paramêtres infile de MySQLi désactivés afin d'éviter les actions par une source client.

D'autres bugs résolus comme OAuth logins, améliorations sur les formulaires, possibilité de restaurer la base de données, dernière version de TLS pour les connexions SMTP sur les dernières versions de PHP, recherche sur les membres améliorée...

La désinstallation de prosilver n'est plus possible, cependant le style peut toujours être désactivé.