Bob Marion ha pubblicato la seguente news:
ATTENZIONE!!!!!!! Il nuovo editor WYSIWYG apre il tuo sito a molti attacchi di tipo sql injection attacks come pure a molti altri tipi di attacchhi! Durante le mie prove ho trovato che alcune stringhe possono essere pericolose sia usando sia non usando l'editor WYSIWYG nelle textareas nelle versioni 7.7 e 7.8 . Personalmente NON USERO' LE VERSIONI 7.7 e 7.8 a causa degli accresciuti problemi di rischio sicurezza! Vi terremo aggiornati sugli sviluppi.

Lo staff di phpBB ha rilasciato l'aggiornamento del forum phpBB 2.0.15. E' caldamente raccomandato di installare questa patch in particolare per un problema rilevato su bbcode.php. Tutte le informazioni ed il download le trovate sul sito ufficiale a questo url http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=288194

Questa nuova versione presenta tra l'altro le seguenti caratteristiche:
+ Lavora con PHP-Nuke 7.1 - 7.7 con Patch 2.9 o superiori.
+ Adattato per la 7.7 WYSIWYG editor.
Caratteristiche complete e Download sono disponibili su www.nukescripts.net

E' stato appena rilasciato a cura di NukeResources l'ultimo aggiornamento per il forum phbb, si tratta della release BBtoNuke 2.0.14 . Sono stati corretti e perfezionati oltre dieci punti. Abbiamo inserito nei downloads due pacchetti:  BB to Nuke 214 da usare se non avete mai patchato il vostro Nuke e BB to Nuke 214 for NP29 che invece va usato per tutti i Nuke patchati con release 2.9 o superiore.

Admin Secure è uno script add-on (non è un modulo ne un blocco) per PHP-Nuke. Questo add-on offre una protezione addizionale agli accounts degli amministratori dagli attacchi hacker e performa il filtraggio per bloccare possibili attacchi.Questo addon non è in grado di prevenire altri metodi di attacchi come per es. DoS (rifiuto di servizio), hammering, sessione spoofing, backdoors, port scanning, system exploit, root access, etc.  Admin Secure monitorizza le attività sospete di SQL Injection come pure gli accessi illegali in amministrazione.

Admin Secure 1.7 offre molte nuove caratteristiche: la funzione Modo Richiesta Sicura forzerà qualsiasi stringa di richiesta contenente firme di stringhe pericolose ( union, join, exec, select, insert, grant, etc ) traslate come entità HTML; Stringhe HTML sicure convertiranno i caratteri "" nelle entità < and >. Questo impedirà agli utenti di inviare un qualunque testo HTML formattato. Entrambe sono caratteristiche estreme destinate ad amministratori paranoici :) Altre caratteristiche sono la risposta a richieste pervenute dagli utenti: Opzione Sito Chiuso/Aperto, Cancellazione di Amministratori non approvati (anche se SuperAdmins) nella pagina Approvazione Admins, SQL injection e tags HTML proibiti con scannerizzazione approfondita, sistema di tracking del visitatore, numero massimo di visitatori ammessi contemporaneamente e ancora molto altro. La versione 1.7 presenta un aspetto migliorato e layouts più comodo.

Caratteristiche:
- Bloccaggio degli exploit PHP-Nuke conosciuti
- Previene l'accesso di amministratori falsi tramite richieste di ingresso
- Blocca il cross-site memorizzando i tentativi in modules.php e in index.php
- Assicurato l'account admin basandosi sui cookies
- Evita la creazione di accounts non autorizzati, la cancellazione e modifica dell'account dell'admin
- Verifica la validità dell'account dell'admin confrontandolo con quello presente nella tabella del database
- I cambiamenti all'account dell'admin (creare, editare, cancellare) richiedono approvazione del SuperAdmin
- Ad ogni tentativo di attacco viene informato l'admin con una email contenente informazioni aggiuntive
- Bloccato l' accesso al sito ed ai moduli PHP-Nuke
- Ed altro ancora...

Cambiamenti in questa versione:
- aggiunto: Modo Richiesta Sicura
- aggiunto: Stringhe Sicure HTML
- aggiunto: Controllo Automatico Database (grazie ad Anonimo)
- aggiunto: Ottimizzazione automatica del database (grazie ad Anonimo)
- aggiunto: Opzione Sito Aperto/Chiuso nel Pannello di Amministrazione
- aggiunto: Cancellazione di Admin non approvato dal Pannello di Amministrazione
- aggiunto: Prompt di Conferma
- aggiunto: Pagina di blocco selezionabile (pagina html o codice del server)
- aggiunto: Modo di esame profondo dell'iniezione SQL (grazie ad Anonimo)
- aggiunto: Esame approfondito dei tags HTML illegali (grazie ad Anonimo)
- aggiunto: Sistema di tracking (grazie a John1000)
- aggiunto: Visitatori massimi del sito (grazie a John1000)
- aggiunto: Invio email di notificazione come MIME mail
- aggiunto: Invio di email usando IMAP (se supportato dal server)
- Upd: Rinforzate le variabili globali sicure di Admin
- Upd: Migliorata la sicurezza del pannello gestione Admin
- Upd: Migliorata la procedura di controllo dell'iniezione SQL
- Upd: La protezione Flood auto disinstallata in admin/user login
- Fix: Controllo tags HTML non permessi nel Forum phpbb/bb2nuke
- Fix: Controllo tags HTML non permessi nei Messaggi Privati
- Fix: Download corrotti bannati e loggati se sul server è abilitata la modalità gz

Formati compressi disponibili:
- ZIP Packed File 315,234 Bytes (MD5 File: DBF87AF247C4DF80394A9011C667370A)
- TGZ Packed File 259,624 Bytes (MD5 File: 2F1CD7E519B0BD2C0753C6CDDD9589C2)

Download Link:
- SourceForge (entrambi i tipi)
- Author's Homepage (solo zip, non è richiesta la registrazione)