Correctif critique phpBB 3.0.7-PL1

[falkra]

Je vous recopie le mail de phpBB que j'ai reçu ce matin.

Pour faire court, la version 3.0.7 a introduit une faille de sécurité qui n'a pas été remarquée pendant les tests.
Un bug dans la gestion des permissions des flux RSS est passé à travers les vérifications, et il permet aux utilisateurs de passer outre les permissions, dans certaines circonstances.

Suit la manip pour corriger cela manuellement (une ligne à changer).

Hi everyone,

We are sorry to announce the immediate release of phpBB 3.0.7-PL1 to address a security issue which was introduced in 3.0.7, unfortunately the issue wasn't noticed during testing and has only surfaced a week after the release of 3.0.7.

We promised working feeds for phpBB 3.0.7. Sadly, we were not able to deliver on that promise - a critical bug in the permission handling for feeds slipped past. To all people who already have updated to 3.0.7, it is of critical importance to update to 3.0.7-PL1. Otherwise, it is possible for users to bypass permission settings under the following circumstances:

- Feeds are enabled
- Any of the posts or topics feeds are enabled
- The unauthorised user - or one of the groups they are a member of - has forum permissions set on a private forum
- If you have excluded a forum from the list of forums that provide feeds, it is unaffected

The fix for the issue is a single line change inside of feed.php, line 525 has changed from:

$forum_ids = array_keys($auth->acl_getf('f_read'));

to:

$forum_ids = array_keys($auth->acl_getf('f_read', true));

There were no other changes, in particular neither style nor language changes.

The original announcement is located at:
http://www.phpbb.com/community/viewtopi ... &t=2014195

(en plus le lien était mort, dans le mail, je l'ai corrigé)

--------------------------------------

Donc pour la manip : ouvrir feed.php, ligne 525 normalement

Trouver :

Code: Tout sélectionner

$forum_ids = array_keys($auth->acl_getf('f_read'));

Remplacer par :

Code: Tout sélectionner

$forum_ids = array_keys($auth->acl_getf('f_read', true));

[dcz]

Mais pourquoi il n'utilisent pas GYM sitemaps

Bon, du travail de packaging en perspective.

++

[falkra]

Bah ils devraient, au lieu de proposer leurs flux à eux et leurs bugs. Passons...

Ils ont proposé du coup une nouvelle version complète (pour une ligne à modifier, et changer la version de la base).
Je pense que beaucoup vourdont changer la ligne et ne pas refaire une installation complète pour ça. Est-il indispensable de marquer la base ? Je me contenterais bien d'une requête en passant, et terminé.

Il est peut-être un peu tôt pour ces questions, l'essentiel étant de patcher, mais personnellement, j'ai désactivé les flux de phpBB dès le début.

[Princ7]

Salut,


Perso' j'ai fait la mise à jour de phpBB 3.0.7 vers 3.0.7-PL1, comme ça au moins c'est clair ^^
Mais bon c'est vrai que pour une ligne ou 2 de changée(s), c'est fort !

Puis bon j'utilise même pas leurs flux RSS ^^
Je compte bien sur utiliser "GYM sitemaps" et tout, quand j'aurai finit d'installer la premod en local sur mon phpBB (modifié) X)


Bref, prions pour qu'il n'y ait pas un 3.0.7-PL2 dans quelques jours -__-

[joebart]

En fait la modif touche 2 fichiers, includes/constant.php inclus...

[falkra]

Bonjour Joebart,

peux-tu en détailler les changements ? Je ne le vois pas mentionné dans la news de phpBB, puisqu'ils proposent une nouvelle version complète, et je ne suis pas allé éplucher tous les fichiers.

[joebart]

Bah en fait dans le pack de mise à jour PL1, 2 fichiers sont modifiés :

• feed.php
• includes/constants.php

Mais la MaJ est très simple à faire, mieux vaut passer par le pack de mise à jour automatique

Donc pack à prendre ici : http://www.phpbb.com/downloads/olympus.php?update=1

[falkra]

Dans includes/constants.php c'est juste la version.

Chercher (l. 27-28) :

Code: Tout sélectionner

// phpBB Version
define('PHPBB_VERSION', '3.0.7');

Changer pour

Code: Tout sélectionner

// phpBB Version
define('PHPBB_VERSION', '3.0.7-PL1');

Et juste en dessous ça dira :

Code: Tout sélectionner

// QA-related
// define('PHPBB_QA', 1);

Ou pour phpBB-SEO :

Code: Tout sélectionner

// QA-related
// define('PHPBB_SEO_QA', 1);

[dcz]

Premod phpBB SEO 3.0.7-PL1 disponible!

[falkra]

Excellent.

Question idiote, je devine la réponse, mais... si on a mis à jour à la 3.0.7 (non PL1) puis édité le fichier en cause, il n'y a - en gros - que le numéro de version qui change. On peut laisser tel quel sans refaire une installation/mise à jour ?Ca ne gênera pas pour la prochaine mise à jour, n'est-ce pas ?

[dcz]

Non, ça ne gênera pas, mais autant passer par le dernier install/database_update.php pour aussi mettre à jour la version.

++

[falkra]

Facile, je prends le package "Mise à jour automatique" d'ordinaire, je peux le reprendre et ne faire que install/database_update.php au lieu de install/index.php?mode=update, c'est ça ?

[dcz]

C'est ça, c'est le même fichier dans tous les packages de la même version

[falkra]

Merci pour la confirmation. Impeccable (c'est fait). C'est mieux en effet, vu que phpBB détectait que la version n'était pas à jour, du coup.

Super ! Merci Dcz.