phpBB 3.3.16 發布

[yehrussell]

大家好，

我們很高興地宣布 phpBB 3.3.16 “Bertie in scrubs” 正式發布。此版本是 3.3.x 分支的維護和安全更新版本，修復了三個安全漏洞，並引入了多項旨在提升用戶體驗和軟體整體穩定性的改進，同時解決了先前版本中發現的一些問題。

在先前的版本中，phpBB 依賴 Web 伺服器提供的資訊來建立密碼重設連結 URL。根據 phpBB 和伺服器的配置，這些資訊可能無法正確過濾，導致攻擊者控制的 URL 被用作密碼重設郵件的 URL。我們感謝 Seong Hun Jeong (HunSec) 在 HackerOne 上向我們報告了這個問題。

此外，在私訊中引用文章時，訪問檢查機制存在缺陷，導致用戶可以訪問被標記為“軟刪除”或“未批准”的文章，即使這些文章通常對相應用戶不可見。我們發現報告提交功能中存在表單密鑰檢查不當的問題，這可能被利用來在未經用戶同意或意圖的情況下代表用戶提交報告。感謝 GitHub 安全實驗室團隊向我們報告了這兩個問題。

此外，我們也發現，在標記版塊通知已讀狀態時有檢查不當的問題。這可能被利用來竄改其他使用者的版塊通知已讀狀態。感謝廖爽向我們報告了這個問題。

我們進一步加強了附件下載的安全性，改進了對非柵格化映像的處理，以防止對配置錯誤的 Web 伺服器發動 XSS 攻擊。

phpBB 3.3.16 的改進包括重新引入 RSS/Atom 來源的身份驗證，以及新增重啟安裝程式的功能，例如在安裝過程中出現問題時。

此版本的主要錯誤修復包括：修復了文章按升序顯示時可能導致文章順序錯亂的問題；修復了回滾某些遷移時出現的問題；以及修復了下載特定字節範圍文件時可能出現的致命錯誤。此外，WHOIS 查詢請求之前停止返回國家/地區或提供者等詳細資訊。經過調整，phpBB 現在與目前的 ARIN/RIPE 服務相容，並將再次傳回這些資訊。

完整的變更清單可在發布包中的 docs 資料夾內的 changelog 檔案中找到。您可以在下面找到此版本的主要亮點，所有已修復的問題清單可在我們的問題追蹤器上查看：https://tracker.phpbb.com/issues/?filter=16890

您可以從我們的下載頁面下載軟體包。

開發團隊感謝所有為本次版本貢獻程式碼的開發者：Matt Friedman、rxu、Kailey M. Snay、battye、Daniel James、Christian Schnegelberger、LukeWCS、Neo-CTC、IdfbAn、Patrick Webster、Robert Korulczyk 和 cabot。

如有任何問題或意見，歡迎在討論區留言。

——phpBB 團隊

（以上，參考 Google 翻譯）

--
資料來源：
https://www.phpbb.com/community/viewtop ... &t=2671024