phpBB España Oficial

Publicado: **20 Nov 2010, 20:05**

El equipo del sitio oficial de phpBB acaba de anunciar el lanzamiento de phpBB 3.0.8 "Patience is a Virtue".
Lamentablemente, también han descubierto un problema de seguridad en la versión anterior que afectan a los foros que han permitido el uso del BBCode Flash - que está desactivado por defecto. En los navegadores basados en WebKit, como Safari, Opera o Google Chrome, el BBCode Flash se puede utilizar para ejecutar Javascript causando una vulnerabilidad de cross site scripting.

Para fijar este problema los usuarios que aun usan 3.0.7 deben editar el archivo includes/message_parser.php y sobre la linea 354

BUSCAR:

Código: Seleccionar todo

          // Apply the same size checks on flash files as on images

ANTES AÑADIR:

Código: Seleccionar todo

          $in = str_replace(' ', '%20', $in);

          // Make sure $in is a URL.
          if (!preg_match('#^' . get_preg_expression('url') . '$#i', $in) &&
             !preg_match('#^' . get_preg_expression('www_url') . '$#i', $in))
          {
             return '[flash=' . $width . ',' . $height . ']' . $in . '[/flash]';
          }

Esto no va a solucionar el problema en los mensajes ya existentes. Con el fin de analizar su foro para los mensajes "maliciosos" se ha creado un script de escaneo. Sólo tiene que subirlo al directorio raíz del phpBB y acceder a el directamente. Hay una nueva versión del Support Toolkit, que incluye este script, así como una herramienta para repasar individualmente los mensajes que se dará a conocer pronto.
Les mantendremos informados.

Aquí tenéis el ChangeLog de esta nueva versión.

Anuncio oficial por: naderman

Discusión sobre el tema: aquí

phpBB España Oficial

Lanzado phpBB 3.0.8

Lanzado phpBB 3.0.8