El equipo del sitio oficial de phpBB acaba de anunciar el lanzamiento de phpBB 3.3.17 "Young Bertie".
Esta versión es una actualización de mantenimiento y seguridad de la rama 3.3.x que corrige cuatro problemas de seguridad. Actualiza a esta nueva versión lo antes posible.
phpBB 3.3.17 también añade mayor seguridad, introduce mejoras en el flujo de OAuth y resuelve algunos problemas detectados en versiones anteriores.
Una verificación incorrecta de los permisos de acceso al configurar los permisos en el ACP podría haber permitido a un administrador malintencionado exceder el nivel de permiso que se le había concedido. Queremos dar las gracias a UdinChan por informarnos de este problema a través de HackerOne.
Otro posible problema afectaba a la migración de campos de perfil, que no gestionaba adecuadamente los datos de los usuarios y podría haber dado lugar a una posible inyección SQL a través de los datos de los campos de perfil. Esto solo afectaba a los foros phpBB que se habían actualizado desde versiones anteriores a la 3.3.8 y que aún no se habían actualizado a la 3.3.11 o una versión más reciente. Queremos dar las gracias a Anteater (giant_anteater) por informarnos de este problema a través de HackerOne.
Además, dos comprobaciones inadecuadas independientes en la implementación anterior de OAuth podrían haberse utilizado para secuestrar cuentas de usuario. Una de ellas no requería que OAuth estuviera configurado o habilitado. Queremos dar las gracias a Aikido Security (aikido.dev) por informarnos a través de HackerOne, así como a Dan Stefan Alexandru, de Pentest-Tools.com, y a Himanshu Anand por informarnos por correo electrónico.
Al mejorar el código de OAuth, decidimos refactorizar parcialmente la implementación actual para resolver algunos problemas conocidos adicionales relacionados con las URL de redireccionamiento y, en su lugar, hemos trasladado el flujo de trabajo de OAuth para que utilice controladores. Como consecuencia de este cambio, tendrás que ajustar la URI de redireccionamiento de tu proveedor de OAuth. Anteriormente, la implementación de OAuth requería dos URI de redireccionamiento. Para Google, por ejemplo, era:
https://{tu_URL_del_tablero}/ucp.php?mode=login&login=external&oauth_service=google
https://{tu_URL_del_tablero}/ucp.php?i=ucp_auth_link&mode=auth_link&link=1&oauth_service=google
Con los cambios de refactorización, esto cambiará a, por ejemplo:
https://{tu_URL_del_foro}/app.php/user/oauth/authenticate/google
Si tienes habilitada la reescritura de URL, también puedes omitir la parte app.php/. Ya no se necesita un segundo URI. Tendrás que actualizar el URI de redireccionamiento en tus configuraciones en los clientes de OAuth, como Google o Facebook.
Se han introducido medidas de seguridad adicionales para las búsquedas de nombres de host y la comprobación de referencias de descargas seguras.
Una corrección de errores destacada en esta versión resuelve un posible problema con la desinstalación de extensiones que se introdujo con los cambios recientes en phpBB 3.3.16. Además, se ha resuelto un problema de instalación durante el paso de comprobación del sistema de archivos.
La lista de cambios al completo los tenéis aquí; Release highlights 3.3.17, además de la lista de errores corregidos en el tracker, sobre 3.3.17
Las paquetes en Español y demás están disponibles (en breve) en la página de descargas.
Anuncio oficial por: Marc
Discusión sobre el tema: aquí
Jr. Extension Validator - Jr. Styles Validator - 
