Risque
- Obtention des droits de l'administrateur du forum ;
- atteinte à la confidentialité des données.
Systèmes affectés
phpBB versions 2.0.12 et antérieures.Résumé
Deux vulnérabilités ont été découvertes dans l'outil phpBB.
Description
L'outil phpBB est utilisé pour la mise en place de forums sur l'Internet. La première vulnérabilité, présente dans le fichier sessions.php, permet d'obtenir les droits de l'administrateur du forum. La seconde vulnérabilité, présente dans le fichier viewtopic.php, permet de visualiser l'arborescence du répertoire web.
Solution
La version 2.0.13 corrige ces vulnérabilités.
Documentation
- Site de phpBB :
http://www.phpbb.com
- Message posté sur le site de phpBB le 27 février 2005 :
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563
- Bulletin de sécurité iDEFENSE id=204 du 02.22.05 :
http://www.idefense.com/application/poi/display?id=204&type=vulnerabilities
- Bulletin de sécurité iDEFENSE id=205 du 02.22.05 :
http://www.idefense.com/application/poi/display?id=205&type=vulnerabilities
- Bulletins de sécurité FreeBSD du 28 février 2005 et du 09 juillet 2005 :
http://www.vuxml.org/freebsd/pkg-phpbb.html
- Bulletin de sécurité Gentoo GLSA 2005:03-02 du 01 mars 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200503-02.xml
- Référence CVE CAN-2005-0258 :
https://www.cve.org/CVERecord?id=CAN-2005-0258
- Référence CVE CAN-2005-0259 :
https://www.cve.org/CVERecord?id=CAN-2005-0259