S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 juin 2006
N° CERTA-2006-ACT-023
Affaire suivie par: CERT-FR
le 09 juin 2006

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2006-23

Gestion du document

Référence CERTA-2006-ACT-023
Titre Bulletin d’actualité 2006-23
Date de la première version 09 juin 2006
Date de la dernière version 09 juin 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Incidents traités par le CERTA

Le CERTA a traité un cas de défiguration qui semble liée à l’exploitation d’un compte sous fullxml (logiciel de gestion de contenus). Il s’agit pour nous du premier incident traité pour ce logiciel.

Nous n’avons pas connaissance de vulnérabilité particulière récente affectant de ce produit.

Recommandations :

En l’absence d’informations complémentaires concernant cet incident, nous invitons tous les administrateurs de fullxml à lire leurs journaux, à surveiller ces serveurs et à nous contacter en cas d’incident.

2 Nouvelle version de phpBB

La version 2.0.21 de phpBB est disponible. Cette nouvelle version ne corrige pas vraiment de problèmes de sécurité et c’est la raison pour laquelle le CERTA n’a pas émis d’avis. Le seul point de sécurité indiqué dans cette mise à jour est une amélioration du filtrage dans le choix de la langue. Nous n’avons aucune idée de l’importance de ce correctif de sécurité.

La liste des modifications apportées par cette mise à jour est disponible à l’adresse suivante :

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=397315

3 Correctif pour Claroline

Un correctif de sécurité pour la version 1.7.6 de Claroline a été publié cette semaine (voir CERTA-2006-AVI-228). Celui-ci corrige des vulnérabilités de type php include trivialement exploitables. Il est très important de veiller à ce que les serveurs Claroline soient en version 1.7.6 avec le patch 17601 appliqué. A noter que Dokeos, qui a de très nombreux fichiers en commun avec Claroline, n’est pas affecté par les vulnérabilités corrigées dans la version 1.7.6 et dans le patch 17601 de Claroline (les fichiers modifiés dans la nouvelle version de Claroline n’existent pas dans Dokeos).

Rappel des avis émis

Dans la période du 29 mai au 04 juin 2006, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 09 juin 2006
    version initiale.