Bonjour,
phpBB vient d'annoncer la sortie de phpBB 3.3.16 « Bertie in scrubs ». Cette version est une mise à jour de maintenance et de sécurité de la branche 3.3.x qui corrige trois failles de sécurité, apporte plusieurs améliorations visant à optimiser l'expérience utilisateur et la stabilité générale du logiciel, et résout certains problèmes constatés dans les versions précédentes.
Auparavant, phpBB utilisait des informations provenant du serveur web pour construire l'URL du lien de réinitialisation du mot de passe. Selon la configuration de phpBB et du serveur, ces URL pouvaient ne pas être correctement filtrées, ce qui pouvait permettre à des attaquants d'envoyer des URL contrôlées par ces derniers comme URL de réinitialisation du mot de passe par e-mail. Nous remercions Seong Hun Jeong (HunSec) de nous avoir signalé ce problème sur HackerOne.
De plus, des contrôles d'accès insuffisants lors de la citation de messages dans les messages privés permettaient à certains utilisateurs d'accéder à des messages marqués comme supprimés ou non approuvés, même si ces derniers ne sont normalement pas visibles pour les utilisateurs concernés. Un autre problème lié à des vérifications incorrectes des clés de formulaire dans la fonctionnalité de signalement de messages a été constaté. Cette faille pourrait potentiellement être exploitée pour soumettre des rapports au nom d'un utilisateur sans son consentement. Nous remercions l'équipe du laboratoire de sécurité de GitHub pour nous avoir signalé ces deux problèmes.
Par ailleurs, une vérification incorrecte lors du marquage des notifications du forum comme lues a été découverte. Cette faille pourrait potentiellement être utilisée pour modifier l'état de lecture des notifications du forum pour d'autres utilisateurs. Nous remercions Liao Shuang pour nous avoir signalé ce problème.
Un renforcement de la sécurité a été ajouté pour le téléchargement des pièces jointes, avec une meilleure gestion des images non rasterisées afin de prévenir d'éventuelles attaques XSS sur des serveurs web mal configurés.
Les améliorations apportées à phpBB 3.3.16 incluent la réintroduction de l'authentification pour les flux RSS/Atom ainsi que l'ajout de la possibilité de redémarrer l'installateur, par exemple en cas de problème lors de l'installation.
Les corrections de bogues notables de cette version incluent des solutions supplémentaires pour l'affichage des messages par ordre croissant (qui pouvait entraîner un affichage non chronologique), des problèmes liés à l'annulation de certaines migrations et une erreur potentiellement fatale lors du téléchargement de fichiers avec une plage d'octets spécifique. De plus, les requêtes WHOIS ne renvoyaient plus d'informations telles que le pays ou le fournisseur. Grâce à ces ajustements, phpBB est désormais compatible avec l'état actuel des services ARIN/RIPE et renverra à nouveau ces informations.
Avant de procéder à la mise à jour, veuillez également consulter cette information importante, dans le message ci-dessous.
La liste complète des modifications est disponible dans le fichier changelog du dossier docs inclus dans le package de la version. Vous trouverez ici les principales nouveautés de cette version, ainsi que la liste de tous les problèmes résolus sur l'outil de suivi des problèmes à l'adresse https://tracker.phpbb.com/issues/?filter=16890
Les packs peuvent être téléchargés depuis la page de téléchargements de phpBB.com.
L'équipe de développement remercie tous ceux qui ont contribué au code de cette version : Matt Friedman, rxu, Kailey M. Snay, battye, Daniel James, Christian Schnegelberger, LukeWCS, Neo-CTC, IdfbAn, Patrick Webster, Robert Korulczyk et cabot.
L'équipe phpBB-fr.com
