Deux codes d'exploitation viennent d'apparaître pour abuser du populaire logiciel de discussion phpBB. Ils concernent la version actuelle (2.0.18) et permettent, pour l'un, une attaque par Cross Site Scripting, et pour l'autre une attaque de type "dictionnaire" contre les mots de passe des utilisateurs. Pas de correctif encore, mais il est plutôt simple de se protéger avec quelques réglages élémentaires.
Cela vous intéressera aussi

La version 2.0.18 de phpBB ne filtrerait pas correctement les entrées des utilisateurs. L'erreur est hélas plutôt courante, et elle ne mériterait pas d'en parler si elle ne concernait pas l'un des logiciels de discussion les plus populaires sur le web.

Mais surtout, elle serait restée purement théorique si un code d'exploitation ne venait pas d'être publié sur InternetInternet. Pour les administrateurs de sites web équipés de phpBB, cette publication signifie qu'il est aujourd'hui beaucoup plus facile pour un internaute mal intentionné de se servir de leur site pour attaquer les autres utilisateurs.

Un bémol toutefois : la vulnérabilité n'est pas exploitable dans le réglage par défaut de phpBB. Elle nécessite d'autoriser l'usage du HTMLHTML dans les messages (une option que de nombreux sites activent malgré tout). Elle exige en outre que l'option Register_Globals de PHP soit activée. Dans les deux cas, cela relève donc, aussi, de mauvais choix de sécurité de la part du responsable du site (même si, en ce qui concerne l'option Register_Globals, le webmaster est souvent tributaire de son hébergeur...).

Seconde alerte à frapper phpBB 2.0.18, selon l'Internet Storm CenterInternet Storm Center un autre exploit aurait été récemment publié, cette fois-ci pour attaquer phpBB par ses mots de passemots de passe. Le code permettrait de tenter de découvrir les sésames des utilisateurs enregistrés en essayant de nombreuses possibilités (c'est une attaque dite "du dictionnaire"). Seule protection ici : s'assurer que les utilisateurs ne choisissent pas de mots de passe trop faibles (en instaurant une longueur minimale de six caractères et, éventuellement, en utilisant régulièrement un outil de "casse" des mots passe faibles afin de détecter ces derniers avant un pirate éventuel).