Säkerhetsbulletin från Debian

DSA-1488-1 phpbb2 -- flera sårbarheter

Rapporterat den:
2008-02-09
Berörda paket:
phpbb2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 388120, Fel 405980, Fel 463589.
I Mitres CVE-förteckning: CVE-2006-4758, CVE-2006-6839, CVE-2006-6840, CVE-2006-6508, CVE-2006-6841, CVE-2008-0471.
Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i phpBB, en webbaserad elektronisk anslagstavla. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2008-0471

    Privata brev tillät serveröverskridande anropsförfalskning, vilket gjorde det möjligt att ta bort privata meddelanden från en användare genom att sända dem till en specialskriven webbsida.

  • CVE-2006-6841 / CVE-2006-6508

    Serveröverskridande skriptsårbarheter gjorde det möjligt för en angripare att utföra olika funktioner på den inloggade användaren vägnar. (Gäller endast Sarge.)

  • CVE-2006-6840

    En negativ startparameter kunde göra det möjligt för en angripare att skapa ogiltig utdata. (Gäller endast Sarge.)

  • CVE-2006-6839

    Mål för omdirigeringar kontrollerades inte till fullo, vilket gjorde det möjligt för oauktoriserade externa omdirigeringar via ett phpBB-forum. (Gäller endast Sarge.)

  • CVE-2006-4758

    En autentiserad forumadministratör kunde sända in filer av valfri typ genom att använda specialskrivna filnamn. (Gäller endast Sarge.)

För den gamla stabila utgåvan (Sarge) har dessa problem rättats i version 2.0.13+1-6sarge4.

För den stabila utgåvan (Etch) har dessa problem rättats i version 2.0.21-7.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.0.22-3.

Vi rekommenderar att ni uppgraderar ert phpbb2-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.diff.gz
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge4_all.deb
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge4_all.deb
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge4_all.deb

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.dsc
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.21-7_all.deb
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7_all.deb
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.21-7_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.