Flere sårbarheder er opdaget i phpBB, et omfangsrigt og skinbart "fladt" webforum. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Flere fortolkningsfejl gjorde det muligt for fjernautentificerede brugere at indsprøjte vilkårlige webskripter, når fjern-avatars og avatar-upload var slået til.
phpBB gjorde det muligt for fjernangribere at omgå beskyttelsesmekanismer som afregistrerede globale variable, hvilket tillod angriberne at manipulere med den måde phpBB opførte sig på.
phpBB gjorde det muligt for fjernangribere at omgå sikkerhedskontroller når register_globals var slået til og funktionen session_start function ikke var blevet kaldt for at håndtere en session.
phpBB gjorde det muligt for fjernangribere at ændre globale variable og omgå sikkerhedsmekanismer.
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting, XSS) gjorde det muligt for fjernangribere at indsprøjte vilkårlige webskripter.
En SQL-indsprøjtningssårbarhed gjorde det muligt for fjernangribee at udføre vilkårlige SQL-kommandoer.
phpBB gjorde det muligt for fjernangriberre at ændre regulære udtryk og udføre PHP-kode via parameteret signature_bbcode_uid.
Manglende kontrol af inddata i forbindelse med topic-typen, gjorde det muligt for fjernangribere at indsprøjte vilkårlige SQL-kommandoer.
Manglende request-validering tillod fjernangribere at redigere andre brugeres private meddelelser.
Den gamle stabile distribution (woody) indeholder ikke phpbb2-pakker.
I den stabile distribution (sarge) er disse problemer rettet i version 2.0.13+1-6sarge2.
I den ustabile distribution (sid) er disse problemer rettet i version 2.0.18-1.
Vi anbefaler at du opgraderer dine phpbb2-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.