Debian セキュリティ勧告

DSA-1488-1 phpbb2 -- 複数の脆弱性

報告日時:

2008-02-09

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

詳細:

ウェブベースの掲示版ソフトウェア phpBB に、リモートから攻撃可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

CVE-2008-0471
プライベートメッセージングがクロスサイトリクエストフォージェリを許すため、ユーザに細工したウェブページを開かせることで、プライベートメッセージを全て消去することが可能です。
CVE-2006-6841 / CVE-2006-6508
クロスサイトリクエストフォージェリのため、攻撃者がログインしたユーザ権限で様々な操作を実行可能です (Sarge のみの欠陥)。
CVE-2006-6840
負のスタートパラメータにより、不正な出力結果を作成することが可能です (Sarge のみの欠陥)。
CVE-2006-6839
リダイレクションターゲットが十分にチェックされていないため、 phpBB フォーラムからの認証を経ない外部リダイレクトが可能です (Sarge のみの欠陥)。
CVE-2006-4758
認証されたフォーラム管理者が、特殊な形式のファイル名を用いて任意のタイプのファイルのアップロードが可能です (Sarge のみの欠陥)。

旧安定版 (oldstable) ディストリビューション (sarge) では、これらの問題はバージョン 2.0.13+1-6sarge4 で修正されています。

安定版 (stable) ディストリビューション (etch) では、これらの問題はバージョン 2.0.21-7 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバージョン 2.0.22-3 で修正されています。

直ぐに phpbb2 パッケージをアップグレードすることを勧めます。

修正:

ソース:: http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.diff.gz; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.dsc
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge4_all.deb; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge4_all.deb; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge4_all.deb

ソース:: http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.dsc; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21.orig.tar.gz; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.diff.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.21-7_all.deb; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7_all.deb; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.21-7_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。