Phpbb-foorumi vuotaa tiedostoja
0
Tietoturvayhtiö Idefense varoittaa kahdesta phpBB-foorumiohjelmiston haavoittuvuudesta. Aukot mahdollistavat tiedostojen lukemisen www-palvelimelta sekä tiedostojen poistamisen. Phpbb Group on tukkinut aukot versiosta 2.0.12.
Vakavampi aukoista liittyy avatar-kuvakkeiden käsittelyyn. Avatar on kuvake, joka näkyy viestien lähettäjätiedoissa. Tavallisesti käyttäjät voivat itse siirtää haluamiansa kuvia joko omalta koneelta tai muualta netistä avatareiksi foorumiin.
Idenfencen mukaan hyökkääjä voi lukea www-palvelimen tiedostoja, jos palvelimelle siirrettävän avatar-kuvakkeen url:n tilalle annetaan palvelimen paikallinen hakemistopolku. Tämä edellyttää, että phpBB:ssä on voimassa asetukset "enable remote avatars" ja "enable avatar uploading".
Idefence huomauttaa, että hyökkääjä voi näin saada tietoja, jotka mahdollistavat myös palvelinmurron.
Toinen aukoista mahdollistaa palvelimen tiedostojen poistamisen. Ongelma liittyy avatar-kuvakegallerian toteutukseen.
Ohjelmistosta on julkaistu versio 2.0.12, jonka pitäisi korjata ongelma. (Itviikko)
