A Propos 

Espace membres

Devenez membre !

Vulnérabilités

imprimer

Duo d'attaques contre phpBB

Par Jerome Saiz, le 23 déc 2005 à 15:37:00.

Vulnérabilités

Deux codes d'exploitation viennent d'apparaître pour abuser du populaire logiciel de discussion phpBB. Ils concernent la version actuelle (2.0.18) et permettent, pour l'un, une attaque par Cross Site Scripting, et pour l'autre une attaque de type "dictionnaire" contre les mots de passe des utilisateurs. Pas de correctif encore, mais il est plutôt simple de se protéger avec quelques réglages élémentaires.[Mis à jour le 31/12/05]


La version 2.0.18 de phpBB ne filtrerait pas correctement les entrées des utilisateurs. L'erreur est hélas plutôt courante, et elle ne mériterait pas d'en parler si elle ne concernait pas l'un des logiciels de discussion les plus populaires sur le web.
Mais surtout, elle serait restée purement théorique si un code d'exploitation ne venait pas d'être publié sur Internet. Pour les administrateurs de sites web équipés de phpBB, cette publication signifie qu'il est aujourd'hui beaucoup plus facile pour un internaute mal intentionné de se servir de leur site pour attaquer les autres utilisateurs.
Un bémol toutefois : la vulnérabilité n'est pas exploitable dans le réglage par défaut de phpBB. Elle nécessite d'autoriser l'usage du HTML dans les messages (une option que de nombreux sites activent malgré tout, peut-être par attrait des couleurs de mauvais goût ?). Elle exige en outre que l'option Register_Globals de PHP soit activée. Dans les deux cas, cela relève donc, aussi, de mauvais choix de sécurité de la part du responsable du site (même si, en ce qui concerne l'option Register_Globals, le webmaster est souvent tributaire de son hébergeur...).

Seconde alerte à frapper phpBB 2.0.18, selon l'Internet Storm Center un autre exploit aurait été récemment publié, cette fois-ci pour attaquer phpBB par ses mots de passe. Le code permettrait de tenter de découvrir les sésames des utilisateurs enregistrés en essayant de nombreuses possibilités (c'est une attaque dite "du dictionnaire"). Seule protection ici : s'assurer que les utilisateurs ne choisissent pas de mots de passe trop faibles (en instaurant une longueur minimale de six caractères et, éventuellement, en utilisant régulièrement un outil de "casse" des mots passe faibles afin de détecter ces derniers avant un pirate éventuel).

Mise à jour du 31/12/05 : phpBB 2.0.19 est désormais disponible.

Cartes blanches

IAM : dépenser moins pour gagner plus

Bruno Vincent

Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos. 		Organisation et sécurité: en finir avec le cloisonnement !

Bruno Vincent

Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ?

Monsieur RSSI

Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur. 		Rififi en vue chez les identités

Bruno Vincent

Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches
Les dossiers Les thématiques

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité Tarsus 2009
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.