[RFR] webwml://security/2005/dsa-925.wml
Bonjour,
Voici la traduction de l'annonce 925 touchant phpBB.
Merci d'avance pour vos relectures.
--
Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans phpBB, un logiciel de
forum sur le web, habillable et truffé de fonctionnalités.</p>
<p>Le projet « Common Vulnerabilities and Exposures » a identifié les
problèmes suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3310";>CVE-2005-3310</a>
<p>De nombreuses erreurs d'interprétation permettaient à des utilisateurs
authentifiés d'injecter du script web arbitraire si l'envoi d'avatar et
l'utilisation d'avatar distant étaient activés.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3415";>CVE-2005-3415</a>
<p>phpBB permettait à des attaquants distants de contourner les mécanismes
de protection qui désinscrivent les variables globales, ce qui permettait
aux attaquants de manipuler le fonctionnement de phpBB.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3416";>CVE-2005-3416</a>
<p>phpBB permettait à des attaquants distants de contourner les
vérifications de sécurité si la variable register_globals était activée et
si la fonction session_start n'était pas appelée pour gérer la
session.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3417";>CVE-2005-3417</a>
<p>phpBB permettait à des attaquants distants de modifier les variables
globales et de contourner les mécanismes de sécurité.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3418";>CVE-2005-3418</a>
<p>De nombreuses vulnérabilités de script intersites (« cross-site
scripting » ou XSS) permettaient à des attaquants distants d'injecter
des scripts web arbitraires.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3419";>CVE-2005-3419</a>
<p>Une vulnérabilité d'injection SQL permettait à des attaquants distants
d'exécuter des commandes SQL arbitraires.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3420";>CVE-2005-3420</a>
<p>phpBB permettait à des attaquants distants de modifier des expressions
rationnelles et d'exécuter du code PHP en utilisant le paramètre
signature_bbcode_uid.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3536";>CVE-2005-3536</a>
<p>L'absence de vérification des entrées de type sujet permettait à des
attaquants distants d'injecter des commandes SQL arbitraires.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3537";>CVE-2005-3537</a>
<p>L'absence de valisation des requêtes permettait à des attaquants
distants d'éditer les messages privés d'autres utilisateurs.</p></li>
</ul>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas phpbb2.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 2.0.13+1-6sarge2.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.0.18-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets phpbb2.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-925.data"
Reply to: