Säkerhetsbulletin från Debian
DSA-1488-1 phpbb2 -- flera sårbarheter
- Rapporterat den:
- 2008-02-09
- Berörda paket:
- phpbb2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 388120, Fel 405980, Fel 463589.
I Mitres CVE-förteckning: CVE-2006-4758, CVE-2006-6839, CVE-2006-6840, CVE-2006-6508, CVE-2006-6841, CVE-2008-0471. - Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i phpBB, en webbaserad elektronisk anslagstavla. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2008-0471
Privata brev tillät serveröverskridande anropsförfalskning, vilket gjorde det möjligt att ta bort privata meddelanden från en användare genom att sända dem till en specialskriven webbsida.
- CVE-2006-6841 / CVE-2006-6508
Serveröverskridande skriptsårbarheter gjorde det möjligt för en angripare att utföra olika funktioner på den inloggade användaren vägnar. (Gäller endast Sarge.)
- CVE-2006-6840
En negativ startparameter kunde göra det möjligt för en angripare att skapa ogiltig utdata. (Gäller endast Sarge.)
- CVE-2006-6839
Mål för omdirigeringar kontrollerades inte till fullo, vilket gjorde det möjligt för oauktoriserade externa omdirigeringar via ett phpBB-forum. (Gäller endast Sarge.)
- CVE-2006-4758
En autentiserad forumadministratör kunde sända in filer av valfri typ genom att använda specialskrivna filnamn. (Gäller endast Sarge.)
För den gamla stabila utgåvan (Sarge) har dessa problem rättats i version 2.0.13+1-6sarge4.
För den stabila utgåvan (Etch) har dessa problem rättats i version 2.0.21-7.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.0.22-3.
Vi rekommenderar att ni uppgraderar ert phpbb2-paket.
- CVE-2008-0471
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.diff.gz
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.dsc
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge4_all.deb
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge4_all.deb
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge4_all.deb
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge4_all.deb
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.dsc
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.diff.gz
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.21-7_all.deb
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7_all.deb
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.21-7_all.deb
- http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.