Eingetragen von Gerald Mann on 14. Oktober 2007 – 20:34

Ettliche bereits installierte PHPBB3 versionen sind ja in den letzten Tagen aufgrund der bekannten XSS Lücken sehr beäugelt worden. Nun hat die PHPBB Group reagiert und die Beta RC6 auf den Markt geschmissen.

Folgende “Wichtige” updates wurden eingetippert:
# [Sec] Fixing possible XSS through compromised WHOIS server (#i63, #i64)
# [Sec] Missing access control on whois in viewonline.php (#i51)
# [Sec] Encoding some variables within user::page array correctly (to cope with browser not doing it correctly) to prevent XSS through functions re-using them (#i61)
# [Sec] Fixed XSS through memberlist search feature (#i62)
# [Sec] Fixed XSS through colour swatch (#i65)
# [Sec] Fixed insecure attachment deletion (#i53)
# [Sec] Only allow whitelisted protocols in meta_redirect/redirect (#i66)
# [Sec] Check file names to be written in language management panel (#i52)
# [Sec] Deregister globals if ini_get has been disabled (#i112)
# [Sec] Added form tokens to most forms to enforce a lighter variant of CSRF protection (#i91 - #i96)
# [Sec] Use new password hash method for forum passwords (#i43)
# [Sec] Changed download file location to prevent flash crossdomain policies taking effect (#i8)
# [Sec] Do not allow autocompletion for password on admin re-authentication (#i41)
# [Sec] Made sure users are not completely locked out if they have a GLOBALS cookie (#i101)
# [Sec] Use the secure hash to generate BBCODE_UIDs (#i71)
# [Sec] Increase the length of BBCODE_UIDs (#i72)
# [Sec] New password hashing mechanism for storing passwords (#i42)

Daher ist wieder die Dewiese, auch diese PHPBB RC6 ist nochnicht für den operativen Einsatz gemacht. Und ich lag mit meiner letzten Vermutung für die PHPBB Final natürlich vollkommen falsch. Daher wage ich es jetzt nochnichtmal einen Tip abzugeben.

Aber evt. jemand von euch?