#  > 【巍峨峻山】 公告服務區 >  > 公佈欄 >  >  頭像安全性修正說明

## 狼王白牙

phpBB 的遠端頭像發現安全性漏洞, 包括 *遠端連結頭像* 及 *遠端上傳頭像*
除了底下安全性通報提到可能洩露閱讀文章者的個人資料的英文說明外;
尚有可能插入超出規定 200 X 200 的超大圖檔

故移除使用者使用遠端頭像功能, 僅提供 *從自己電腦上傳頭像*至論壇上
尤其若頭像曾放於 Pchome 個人網頁上者  已經全部手動移至樂園主機保管

目前已知 PChome 個人空間限制台灣以外網友直連權限, 及無法從主機端檢查圖檔大小等缺點;
請盡量直接使用附加檔案功能/其他圖片放置空間  我們未來可能限制對PChome的直接連結
因本站非僅對台灣地區網友開放




> Description:
> 
> A weakness has been discovered in phpBB, which can be exploited by malicious people to disclose certain system information.
> 
> The weakness is caused due to the application allowing users to use external files as avatars. This can be exploited to gather information (e.g. IP addresses, browser types) of other users, who view a forum post containing an external avatar image.
> 
> Successful exploitation requires that support for remote avatars is enabled (not default setting).
> 
> The weakness has been confirmed in version 2.0.17. Other versions may also be affected.

----------

