phpBB 3.0.7 a 3.0.7-PL1 - pozor na bezpečností opravu!

[ameeck]

Zhruba před týdnem byla vydaná nová verze phpBB - 3.0.7, šlo hlavně o bugfix release, která měla opravit chyby uvedené v 3.0.6, která přinesla mnoho nových funkcí.

Bohužel se do 3.0.7 dostala nepříjemná bezpečnostní díra, která sice neohrožuje bezpečnost serveru, bohužel ale může zveřejnit příspěvky ze skrytých fór.

Skupiny, které mají oprávnění Ne nebo Nikdy do určitých fór je mohou přečíst.

Pro opravu si otevřete soubor feed.php a najděte řádek 525:

Kód: Vybrat vše

$forum_ids = array_keys($auth->acl_getf('f_read')); 

a změnte ho na:

Kód: Vybrat vše

$forum_ids = array_keys($auth->acl_getf('f_read', true)); 

V souboru constants.php najděte řádek PHPBB_VERSION a změnte verzi na 3.0.7-PL1.

Nakonec si stáhněte soubor install/database_update.php z 3.0.7-PL1 a spusťte ho na serveru.

Tyto upravy platí pokud máte nainstalovano phpBB 3.0.7, pokud máte phpBB 3.0.6, nejdříve aktualizujte na 3.0.7 a pak proveďte opravu.

Pro zvědavé: PL znamená Patch Level a je to druh vydání nové verze, které je pouze na úrovni nejnutnějšího krátkého bugfixu.

[Uživatel]

Bude ke ztažení i zde na foru ?

[Starbucg]

Než ji hodí sem na fórum, tak je ke stažení tady:

http://www.phpbb.com/downloads/olympus.php

jazykový balík je zde:

http://www.phpbb.cz/files/phpbb3.0.7_lang_cs.zip

a nebo přímo s integrovaným jazykovým balíkem zde:

http://www.foradmin.net/viewtopic.php?f=27&t=13

[Vojta.ov]

Dnes jsem prováděl aktualizaci z 3.0.6 na 3.0.7-PL1 a vše je v pořádku. Zmiňovaný řádek byl již upravený.

[Starbucg]

Ano, ve verzi 3.0.7-PL1 je řádek opravený. Proto byla tato verze vydána.

[Vojta.ov]

Ahá, pochopil jsem to tak, že se jedná o obě verze (zmátl mě nadpis).

[Fit]

Já jsem teda nic manuálně neupravoval, pouze jsem stáhnul klasický balík pro automatickou aktualizaci 3.0.7to3.0.7-PL1 a normálně jsem udělal update a vše bez problémů. Samozřejmě v tom balíku jsem i kopíroval onen soubor feed.php, takže se to změnilo a je to v pořádku. Takže toto je taky řešení...

[Nostradamus]

Po aktualizaci u mě nastal problém!
Když se přihlašuji jako administrátor, tak po druhém zadání hesla systém sice hlásí, že mě přepne do administrátorského panelu, ale nestane se tak! Musím kliknout na odkaz "Administrace fóra".
Při odhlašování z ACP problém není. Systém sám přepne na hlavní stránku fóra.
Co s tím? Máte někdo podobnou zkušenost?
Díky.

[Uživatel]

Jsem na tom stejně.
Problém je asi v neaktualni verzi templatu.
V prosilveru i subsilveru2 to funguje bez problémů.

[Senky]

http://www.phpbb3.sk/forum/viewtopic.php?p=24299#p24299

[Nostradamus]

To "Senky"!
Thenkjú very mač...

[xeflex]

Chápu to dobře když si stahnu todle http://www.phpbb.com/files/release/phpBB-3.0.7-PL1.zip tak ta chyba je tam orpavena že ??

[Senky]

Myslím, že tam ešte nie. Že to bude až od 3.0.8

[ameeck]

Myslím, že tam ešte nie. Že to bude až od 3.0.8

Ne, chyba byla v 3.0.7, 3.0.7-PL1 ji opravuje.

[Senky]

Hmm, však v pl1 sa opravilo iba to oprávnenie čítať feed, tu sa hovorí o odkaze do acp po prihlásení, nie?