1 Activité en cours

1.1 Incidents traités par le CERTA

Le CERTA a traité un cas de défiguration qui semble liée à l'exploitation d'un compte sous fullxml (logiciel de gestion de contenus). Il s'agit pour nous du premier incident traité pour ce logiciel.

Nous n'avons pas connaissance de vulnérabilité particulière récente affectant de ce produit.

Recommandations :

En l'absence d'informations complémentaires concernant cet incident, nous invitons tous les administrateurs de fullxml à lire leurs journaux, à surveiller ces serveurs et à nous contacter en cas d'incident.

2 Nouvelle version de phpBB

La version 2.0.21 de phpBB est disponible. Cette nouvelle version ne corrige pas vraiment de problèmes de sécurité et c'est la raison pour laquelle le CERTA n'a pas émis d'avis. Le seul point de sécurité indiqué dans cette mise à jour est une amélioration du filtrage dans le choix de la langue. Nous n'avons aucune idée de l'importance de ce correctif de sécurité.

La liste des modifications apportées par cette mise à jour est disponible à l'adresse suivante :

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=397315

3 Correctif pour Claroline

Un correctif de sécurité pour la version 1.7.6 de Claroline a été publié cette semaine (voir CERTA-2006-AVI-228). Celui-ci corrige des vulnérabilités de type php include trivialement exploitables. Il est très important de veiller à ce que les serveurs Claroline soient en version 1.7.6 avec le patch 17601 appliqué. A noter que Dokeos, qui a de très nombreux fichiers en commun avec Claroline, n'est pas affecté par les vulnérabilités corrigées dans la version 1.7.6 et dans le patch 17601 de Claroline (les fichiers modifiés dans la nouvelle version de Claroline n'existent pas dans Dokeos).

Rappel des publications émises

Dans la période du 29 mai 2006 au 04 juin 2006, le CERT-FR a émis les publications suivantes :


Dans la période du 29 mai 2006 au 04 juin 2006, le CERT-FR a mis à jour les publications suivantes :