Скачать phpBB 3.2.4 Rus под кодовым именем "Усы Берти". Данный релиз предназначен для устранения проблемы безопасности и ранее обнаруженных ошибок, а также ряда улучшений.
Уязвимость связана с недавно обнаруженной новой технологией взлома, получившей название Phar deserialization (десериализация Phar). Злоумышленник с учетной записью основателя мог осуществить исполнение кода, используя стандартную функцию PHP для распаковки метаданных файлов Phar. Более подробно технология описана здесь. Для устранения данной уязвимости, была исключена возможность задавать абсолютные пути в администраторском разделе. В результате удалена настройка пути ImageMagick, поэтому убедитесь в доступности библиотеки GD на сервере. Добавлено новое событие для создания миниатюр изображений, поэтому можно написать расширение, использующее различные библиотеки для обработки изображений, чтобы пересоздавать миниатюры. Команда phpBB Group благодарит Симона Сканнелла (Simon Scannell) и Робина Перагли (Robin Peraglie) из RIPS Technologies за информацию и ответственный подход. Уязвимость получила код CVE-2018-19274.
Среди других исправлений - обновлённые версии сторонних библиотек ядра и устранения ряда ошибок при работе с PHP версий 7.2 и выше.
Улучшения:
- Обновление зависимостей до последних версий (Symfony, Twig).
- В email-уведомления добавлен заголовок list-unsubscribe.
- Для функции "Забыли пароль?" больше не требуется указывать имя учетной записи.
Наиболее заметные изменения:
- События шаблонов в расширениях теперь могут использовать синтаксис Twig.
Наиболее важные исправления:
- Решение проблем в работе и устранение ряда несовместимостей при работе с PHP 7.2.
- Исправление ошибки, в результате которой пользователи не могли быть удалены из группы "Новые пользователи" более одного раза.
- Также добавлены 19 новых событий ядра и 24 - шаблона.