Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-1488-1 phpbb2 -- Plusieurs vulnérabilités

Date du rapport:

9 février 2008

Paquets concernés:

phpbb2

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le système de suivi des bogues Debian : Bogue 388120, Bogue 405980, Bogue 463589.
Dans le dictionnaire CVE du Mitre : CVE-2006-4758, CVE-2006-6839, CVE-2006-6840, CVE-2006-6508, CVE-2006-6841, CVE-2008-0471.

Pour plus d'information:

Plusieurs vulnérabilités à distance ont été découvertes dans phpBB, un forum basé sur la Toile. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

• CVE-2008-0471

  La messagerie privée permet la falsification de requêtes intersites rendant possible la suppression de tous les messages privés d'un utilisateur en les envoyant vers une page conçue spécialement.

• CVE-2006-6841 / CVE-2006-6508

  La falsification de requêtes intersites permet à un attaquant de réaliser diverses actions au nom d'un utilisateur connecté (ne s'applique qu'à Sarge).

• CVE-2006-6840

  Un paramètre de démarrage négatif permet à un attaquant de créer des sorties invalides (ne s'applique qu'à Sarge).

• CVE-2006-6839

  Les cibles de redirection ne sont pas complètement vérifiées, laissant le champ libre à des redirections externes non autorisées via un forum phpBB (ne s'applique qu'à Sarge).

• CVE-2006-4758

  Un administrateur de forum authentifié peut télécharger des fichiers de n'importe quel type en utilisant des noms de fichiers conçues spécialement (ne s'applique qu'à Sarge).

Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.0.13+1-6sarge4.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.21-7.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.0.22-3.

Nous vous recommandons de mettre à jour votre paquet phpbb2.

Corrigé dans:

Debian GNU/Linux 3.1 (sarge)

Source :

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.diff.gz

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.dsc

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge4_all.deb

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge4_all.deb

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge4_all.deb

Debian GNU/Linux 4.0 (etch)

Source :

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.dsc

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21.orig.tar.gz

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.diff.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.21-7_all.deb

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7_all.deb

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.21-7_all.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk English 日本語 (Nihongo) svenska

Comment configurer la langue par défaut du document