El equipo del sitio oficial de phpBB acaba de anunciar el lanzamiento de phpBB 3.3.16 "Bertie in scrubs".
Esta versión es una actualización de mantenimiento y seguridad de la rama 3.3.x que corrige tres problemas de seguridad, introduce una serie de mejoras destinadas a optimizar la experiencia del usuario y la estabilidad general del software, y resuelve algunos problemas detectados en versiones anteriores.
En versiones anteriores, phpBB dependía de la información del servidor web para generar la URL del enlace de restablecimiento de contraseña. Dependiendo de la configuración de phpBB y del servidor, es posible que esta información no se filtrara correctamente, lo que podría dar lugar a que se enviaran URL controladas por atacantes como URL de correo electrónico para restablecer la contraseña. Queremos dar las gracias a Seong Hun Jeong (HunSec) por informarnos de este problema a través de HackerOne.
Además, unas comprobaciones de acceso inadecuadas al citar publicaciones en mensajes privados permitían a los usuarios acceder a publicaciones marcadas como eliminadas temporalmente o no aprobadas, incluso si estas no eran normalmente visibles para los usuarios correspondientes. Se detectó otro problema relacionado con comprobaciones inadecuadas de la clave del formulario en la funcionalidad de envío de informes, lo que podría utilizarse potencialmente para enviar informes en nombre de un usuario sin su consentimiento o intención. Queremos dar las gracias al equipo de GitHub Security Lab por informarnos de estos dos problemas.
Además de esto, se ha detectado un error en la comprobación al marcar como leídas las notificaciones del foro. Esto podría utilizarse para alterar el estado de lectura de las notificaciones del foro de otros usuarios. Queremos dar las gracias a Liao Shuang por informarnos de este problema.
Se ha añadido una mayor seguridad para la descarga de archivos adjuntos, con un mejor manejo de las imágenes no rasterizadas, para evitar posibles ataques XSS en servidores web mal configurados.
Las mejoras de phpBB 3.3.16 incluyen la reintroducción de la autenticación para fuentes RSS/Atom, así como la posibilidad de reiniciar el instalador, por ejemplo, en caso de que surjan problemas durante el proceso de instalación.
Entre las correcciones de errores más destacadas de esta versión se encuentran correcciones adicionales para la visualización de publicaciones en orden ascendente, lo que podía dar lugar a un orden no cronológico; problemas con la reversión de algunas migraciones; y un posible error fatal al descargar archivos con un rango de bytes específico. Además, las solicitudes de búsqueda WHOIS habían dejado de devolver detalles como el país o el proveedor. Con los ajustes realizados, phpBB es ahora compatible con el estado actual de los servicios ARIN/RIPE y volverá a mostrar estos detalles.
La lista de cambios al completo los tenéis aquí; Release highlights 3.3.16, además de la lista de errores corregidos en el tracker, sobre 3.3.16
Las paquetes en Español y demás están disponibles (en breve) en la página de descargas.
Anuncio oficial por: Marc
Discusión sobre el tema: aquí
Jr. Extension Validator - Jr. Styles Validator - 
