Hoppa över navigering

• Om Debian
• Nyheter
• Få tag på Debian
• Support
• Utvecklarhörnet
• Sidöversikt
• Sök

Säkerhetsbulletin från Debian

DSA-1488-1 phpbb2 -- flera sårbarheter

Rapporterat den:

2008-02-09

Berörda paket:

phpbb2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 388120, Fel 405980, Fel 463589.
I Mitres CVE-förteckning: CVE-2006-4758, CVE-2006-6839, CVE-2006-6840, CVE-2006-6508, CVE-2006-6841, CVE-2008-0471.

Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i phpBB, en webbaserad elektronisk anslagstavla. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2008-0471

  Privata brev tillät serveröverskridande anropsförfalskning, vilket gjorde det möjligt att ta bort privata meddelanden från en användare genom att sända dem till en specialskriven webbsida.

• CVE-2006-6841 / CVE-2006-6508

  Serveröverskridande skriptsårbarheter gjorde det möjligt för en angripare att utföra olika funktioner på den inloggade användaren vägnar. (Gäller endast Sarge.)

• CVE-2006-6840

  En negativ startparameter kunde göra det möjligt för en angripare att skapa ogiltig utdata. (Gäller endast Sarge.)

• CVE-2006-6839

  Mål för omdirigeringar kontrollerades inte till fullo, vilket gjorde det möjligt för oauktoriserade externa omdirigeringar via ett phpBB-forum. (Gäller endast Sarge.)

• CVE-2006-4758

  En autentiserad forumadministratör kunde sända in filer av valfri typ genom att använda specialskrivna filnamn. (Gäller endast Sarge.)

För den gamla stabila utgåvan (Sarge) har dessa problem rättats i version 2.0.13+1-6sarge4.

För den stabila utgåvan (Etch) har dessa problem rättats i version 2.0.21-7.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.0.22-3.

Vi rekommenderar att ni uppgraderar ert phpbb2-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.diff.gz

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.dsc

Arkitekturoberoende komponent:

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge4_all.deb

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge4_all.deb

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge4_all.deb

Debian GNU/Linux 4.0 (etch)

Källkod:

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.dsc

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21.orig.tar.gz

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.diff.gz

Arkitekturoberoende komponent:

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.21-7_all.deb

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7_all.deb

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.21-7_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

Denna sida finns även på följande språk:

dansk English français 日本語 (Nihongo)

Så ställer du in standardspråkval för dokument