Vulnérabilités dans phpBB

Gestion du document

Référence	CERTA-2005-AVI-096
Titre	Vulnérabilités dans phpBB
Date de la première version	02 mars 2005
Date de la dernière version	11 juillet 2005
Source(s)	Message posté sur le site de phpBB le 27 février 2005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Atteinte à la confidentialité des données
Obtention des droits de l'administrateur du forum

Systèmes affectés

phpBB versions 2.0.12 et antérieures.

Résumé

Deux vulnérabilités ont été découvertes dans l'outil phpBB.

Description

L'outil phpBB est utilisé pour la mise en place de forums sur l'Internet. La première vulnérabilité, présente dans le fichier sessions.php, permet d'obtenir les droits de l'administrateur du forum. La seconde vulnérabilité, présente dans le fichier viewtopic.php, permet de visualiser l'arborescence du répertoire web.

Solution

La version 2.0.13 corrige ces vulnérabilités.

Documentation

Message posté sur le site de phpBB le 27 février 2005

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563

Bulletin de sécurité Gentoo GLSA 2005:03-02 du 01 mars 2005 :

http://www.gentoo.org/security/en/glsa/glsa-200503-02.xml

Bulletin de sécurité iDEFENSE id=204 du 02.22.05 :

http://www.idefense.com/application/poi/display?id=204&type=vulnerabilities

Bulletin de sécurité iDEFENSE id=205 du 02.22.05 :

http://www.idefense.com/application/poi/display?id=205&type=vulnerabilities

Bulletins de sécurité FreeBSD du 28 février 2005 et du 09 juillet 2005 :

http://www.vuxml.org/freebsd/pkg-phpbb.html

Site de phpBB :

http://www.phpbb.com

Gestion détaillée du document

le 02 mars 2005: version initiale.
le 11 juillet 2005: ajout des bulletins de sécurité iDEFENSE id=204 et id=205, du bulletin supplémentaire FreeBSD ainsi que des références CVE CAN-2005-0258 et CVE CAN-2005-0259.

Avis du CERT-FR

Objet: Vulnérabilités dans phpBB