Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Friday 23 December 2005
0 comment(s) | Subnetwork France

La version 2.0.18 de phpBB ne filtrerait pas correctement les entrées des utilisateurs. L'erreur est hélas plutôt courante, et elle ne mériterait pas d'en parler si elle ne concernait pas l'un des logiciels de discussion les plus populaires sur le web.Mais surtout, elle serait restée purement théorique si un code d'exploitation ne venait pas d'être publié sur Internet. Pour les administrateurs de sites web équipés de phpBB, cette publication signifie qu'il est aujourd'hui beaucoup plus facile pour un internaute mal intentionné de se servir de leur site pour attaquer les autres utilisateurs.Un bémol toutefois : la vulnérabilité n'est pas exploitable dans le réglage par défaut de phpBB. Elle nécessite d'autoriser l'usage du HTML dans les messages (une option que de nombreux sites activent malgré tout, peut-être par attrait des couleurs de mauvais goût ?). Elle exige en outre que l'option Register_Globals de PHP soit activée. Dans les deux cas, cela relève donc, aussi, de mauvais choix de sécurité de la part du responsable du site (même si, en ce qui concerne l'option Register_Globals, le webmaster est souvent tributaire de son hébergeur...).Seconde alerte à frapper phpBB 2.0.18, selon l'Internet Storm Center un autre exploit aurait été récemment publié, cette fois-ci pour attaquer phpBB par ses mots de passe. Le code permettrait de tenter de découvrir les sésames des utilisateurs enregistrés en essayant de nombreuses possibilités (c'est une attaque dite "du dictionnaire"). Seule protection ici : s'assurer que les utilisateurs ne choisissent pas de mots de passe trop faibles (en instaurant une longueur minimale de six caractères et, éventuellement, en utilisant régulièrement un outil de "casse" des mots passe faibles afin de détecter ces derniers avant un pirate éventuel).Mise à jour du 31/12/05 : phpBB 2.0.19 est désormais disponible.

• L'alerte de Secunia pour la faille de Cross Site Scripting
• La note de l'Internet Storm Center au sujet de ces deux exploits