LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1942-2 phpbb3

Bulletin d'alerte Debian

DLA-1942-2 phpbb3 -- Mise à jour de sécurité pour LTS

Date du rapport :

22 décembre 2019

Paquets concernés :

phpbb3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-13776, CVE-2019-16993.

Plus de précisions :

Il s’agit d’une suite de la DLA-1942-1.

Il existait une certaine confusion à propos du correctif correct pour CVE-2019-13776.

L’annonce correcte pour cette DLA aurait due être :

Package : phpbb3 Version : 3.0.12-5+deb8u4 CVE ID: CVE-2019-13776 CVE-2019-16993

• CVE-2019-16993

  Dans phpBB, includes/acp/acp_bbcodes.php vérifiait de manière incorrecte le jeton CSRF dans la page des BBCode dans Administration Control Panel. Une attaque CSRF réelle était possible si un attaquant réussissait à récupérer l’identifiant de session d’un administrateur réauthentifié avant de les cibler.

• CVE-2019-13776

  phpBB permettait le vol de l’identifiant de session du Administration Control Panel en exploitant un CSRF dans la fonction Remote Avatar. Le vol du jeton CSRF aboutit à un XSS stocké.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.0.12-5+deb8u4.

Nous vous recommandons de mettre à jour vos paquets phpbb3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.