phpBB-fr.com

[carodeno]

Bonjour,

Quelqu'un connaît cette vulnérabilité pour la version phpBB 2.0.23?

Voici le courriel que j'ai reçu concernant cette vulnérabilité :

-------------------------------------
phpBB 2.0.23 Session Hijacking Vulnerability

::Information about this vulnerabilty
If a moderator or an admin close a thread in phpBB 2.0.X, the sessionid is sending with GET:

http://site.tld/phpBB2/modcp.php?t=1&mode=lock&sid=[session]

The admin/moderator are going to be redirected to the thread(with the session). If an attacker has posted an image in his post, he can see the referer and so the session id. And if the attacker have a good day and the admin close the thread, he can use all admin-functions with csrf.

::Fix
No fix

::Workaround
Upgrade to phpBB3

-------------------------------------------

Merci pour votre réponse!

[ABDev]

On est déjà au courant, mais merci de nous l'avoir signalé quand même .

[Youni_1989]

Vu que vous etes spécialisé dans la sécurité ABDEV ; Comment resoudre ce probleme ?

Voila... J'ai consulter mes MP sur mon forum et j'ai trouvé 3 MP avec le meme contenu... J'utilise alors dès mnt un compte qui n'est pas admin pour circuler dans mon Forum en attendant une correction de ce probleme ! L'equipe phpbb-fr Peut le faire C sûr ... !

[ABDev]

Euh pas besoin de citer le message précédent .

Concernant le correctif de la faille, comme l'a suggéré Vlad, cela peut se résoudre en utilisant moins de GET, et plus de formulaires.
Faudrait éventuellement que je regarde dès que j'ai un peu de temps.

[Youni_1989]

Salut... Je l'ai retiré

J'ai essayer de comprendre ce que vous venez de dire ABDEV Mais j'arrive pas !

====> en utilisant moins de GET : Comment ? je ne fais que des clicks sur les liens et les bouttons phpbb ! J'utilise du GET ?

====> et plus de formulaires : Je veux aussi poser cette question : Comment ? des formulaires de koi ?

Est ce qu'il y a un mod qui regle ça ? comme le chasseur des pirates (BD des MODs) ?

Merci d'avance

[ABDev]

Non, aucune solution n'existe pour cela, pour le moment.
Et du GET, tu en utilises forcément sinon ce serait très dur de modifier un message, un rang, un utilisateur, ton profil, ...
Quant aux formulaires, ils sont forcément liés au GET, sinon il faudrait constamment passer par la base de données pour modifier quoi que ce soit.

[Youni_1989]

Merci pour ta reponse ABDEV

** Est ce qu'il y a une possibilité de resoudre ce probleme pour phpbb2 ?
** Est ce que le passage à phpbb3 reste le seul moyen pour se defendre ?
** Quels sont les degats que peut causer une personne malveillante pour mon forum phpbb2 en exploitant cette faille ? Je vx savoir surtout les plus grands ?

[ABDev]

1. Comme j'ai écrit plus haut, mais tu n'as pas dû lire :

Non, aucune solution n'existe pour cela, pour le moment.

2. Pour le moment, oui.

3. Suppression de l'intégralité des messages du forum.

Une recherche sur Google et Wikipedia aurait répondu à tes questions.
++

[Youni_1989]

Merci pour les reponses ABDEV

- Oui j'ai bien lu ce que vous avez ecrit avant mais ma question portait sur une possibilité dans l'avenir surtout que vous etes membre de cette formidable equipe de phpbb-fr ! Est ce que ça entre dans vos projets ? le but de ma question est de savoir si je px encore maintenir phpbb2 comme version pour mon forum ou pas ! je navigue pour lemoment par un compte "membre" et pas admin sur mon forum et les modifications je passe par phpmyadmin pour eviter tout probleme

- J'ai cherché sur le net google et Wikipedia surtout ou j'ai trouvé juste cette possibilité d'effacer un sujet sans etre Moderateur ni meme admin... et ce que de ce fait ma bd peut totalement etre perdue via cette faille ?

A vrai dire... ce qui m'empeche de passer à la version 3 de phpbb pour le moment c'est la base de données des MODS disponible pour phpbb3 surtout que je n'aime pas installer des mods qui ne sont pas validés par votre equipe

Je suis vraiment desolé pour toutes ces questions questions mais...

[ABDev]

Est ce que ça entre dans vos projets ?

C'est avec le phpBB Group qu'il faut voir cela, pas avec nous.

et ce que de ce fait ma bd peut totalement etre perdue via cette faille ?

J'ai déjà répondu plus haut. Il n'y avait donc pas besoin de reformuler la question, vu que la réponse reste Oui.

A vrai dire... ce qui m'empeche de passer à la version 3 de phpbb pour le moment c'est la base de données des MODS disponible pour phpbb3 surtout que je n'aime pas installer des mods qui ne sont pas validés par votre equipe

Nous ne sommes pas les seuls à valider des MODs. La Team MOD du phpBB Group le fait également, et les MODs venant de là-bas peuvent être installés sans souci.

[gillesg27]

Bonjour,

Ce pb ne concerne que la version 2.0.23 ou bien aussi les versions antérieures ?

D'avance merci d'éclairer ma lanterne .

[lad]

Bonjour,

Si lors de la déconnexion de l'admin, la base de données est modifiée pour rendre l'utilisateur inactif et que la table de sessions est vidée pour lui, le problème existe toujours ou non? S'il disparaît, je pense que je commence à voir l'ombre d'une solution à cette menace.

[ABDev]

Je ne comprends pas où tu veux en venir.

[lad]

Bon, je crois que je vais devoir chercher l'article d'origine pour comprendre ce que fait exactement cette faille, j'ai lu trop vite.

Je pensais qu'on récupérait la session de l'admin et qu'elle nous permettait de nous connecter sur le forum avec son compte. Du coup, je me disais que si on essaie de se connecter avec un compte inactif ou dont la session a expirée, ça pourrait poser problème. C'est pour ça que je posais la question, des fois, un petit bâton dans les roues et tout le truc tombe par terre.

Cela dit, en réfléchissant un peu, j'aurais pu me dire que si c'était aussi simple, la faille serait déjà corrigée depuis longtemps

[ABDev]

Tu confonds avec les failles XSS apparemment.