{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tout syst\u00e8me avec un forum <TT>phpBB</TT> en version 2.0.10 ou  ant\u00e9rieure.</P>","closed_at":"2004-12-22","content":"## Description\n\nphpBB est un outil de mise en place de forum en source ouverte\nfacilement configurable. Ce forum, bas\u00e9 sur le langage php, peut \u00eatre\ninstall\u00e9 sur diff\u00e9rents types de serveur http (Apache, IIS, ...) et peut\ninteragir avec plusieurs types de bases de donn\u00e9es (MySQL, PostgreSQL,\nMicrosoft SQL Server, Microsoft Access, ...).\n\nUne vuln\u00e9rabilit\u00e9 de type \u00ab injection SQL \u00bb (voir la note d'information\nCERTA-2004-INF-001) est pr\u00e9sente dans le fichier viewtopic.php. En\nins\u00e9rant la s\u00e9quence de caract\u00e8res %2527 dans le param\u00e8tre highlight du\nfichier viewtopic.php, il est possible d'ex\u00e9cuter du code arbitraire \u00e0\ndistance sur le serveur h\u00e9bergeant le forum. Une exploitation visible de\ncette vuln\u00e9rabilit\u00e9 peut \u00eatre la d\u00e9figuration d'un site web.\n\nUn ver nomm\u00e9 Santy.A se propage en exploitant cette faille. Lorsqu'il\ninfecte un syst\u00e8me, il tente de remplacer les fichiers avec une\nextension en .htm, .php, .asp, .shtm, .jsp et .phtm afin de r\u00e9aliser la\nd\u00e9figuration du site. Il se copie dans un fichier nomm\u00e9 m1ho2of. Le ver\npeut ensuite se propager si l'interpr\u00e9teur perl est install\u00e9.\n\nLa tentative d'exploitation de cette vuln\u00e9rabilit\u00e9 laisse des traces\nsignificatives dans les journaux, notamment le fragment highlight=%2527.\n\n## Solution\n\nMettre \u00e0 jour phpBB en version 2.0.11 :\n\n    http://www.phpbb.com/downloads.php\n","cves":[],"links":[{"title":"Note d'information CERTA-2004-INF-001 : S\u00e9curit\u00e9 des    applications Web et vuln\u00e9rabilit\u00e9 de type \u00ab injection de    donn\u00e9es \u00bb","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2004-INF-001"},{"title":"Bulletin d'alerte de l'US CERT TA04-356A du 21 d\u00e9cembre    2004","url":"http://www.us-cert.gov/cas/techalerts/TA04-356A.html"}],"reference":"CERTA-2004-ALE-014","revisions":[{"description":"version initiale.","revision_date":"2004-12-22T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":null,"title":"Exploitation massive d'une faille du forum phpBB","vendor_advisories":[{"published_at":null,"title":"Alerte US CERT TA04-356A du 21 d\u00e9cembre 2004","url":null}]}