Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Grave vulnerabilidad en phpBB
 
VSantivirus No. 1080 Año 7, Domingo 22 de junio de 2003

Grave vulnerabilidad en phpBB
http://www.vsantivirus.com/vul-phpbb-admin.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy



phpBB es un paquete de código abierto, altamente configurable, para la creación de portales, basado en los "Bulletin Board" (tablones de noticias), como originalmente se llamaban a los BBS (Bulletin Board System). Hoy día esto ha evolucionado a lo que se conoce como portales o comunidades virtuales. Este software, desarrollado sobre PHP, un lenguaje gratuito que sirve para la programación de scripts del lado del servidor, soporta múltiples bases de datos (MySQL, MSSQL, PostgreSQL, Access/ODBC).

Una vulnerabilidad recientemente anunciada, permite que un intruso pueda modificar el comportamiento de uno de sus scripts administrativos, "/admin/admin_styles.php", cambiando la ruta donde se incluye el archivo de configuración "/theme_info.cfg".

Esto compromete seriamente la seguridad de todo el servidor, ya que las posibles modificaciones a la forma de actuar del archivo administrativo mencionado, son críticas para el funcionamiento de todo el sistema.

Incluso puede forzarse la inclusión o ejecución de otros archivos, al obtener los permisos para ello.

Un "exploit" que se aprovecha de esta falla ya es público en Internet, lo que compromete gravemente la seguridad de todos los portales desarrollados con phpBB, al no existir aún un parche por parte de sus desarrolladores.

Las pruebas indican que en el momento, son vulnerables todas las versiones 2.0.x.


Referencias:

http://www.securityfocus.com/bid/7932/info/
http://www.phpbb.com/


Créditos: Gerben van der Lubbe <gerben_van_der_lubbe@hotmail.com>




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS