phpBB に関するセキュリティ情報をこのトピに載せていきます。

ほとんどがセキュリティホールの情報になるかと思いますが・・・。

★このトピの返信メール通知を有効にする事を推奨します。（登録ユーザーのみ）


▼セキュリティ情報サイト

• FrSIRT - Vulnerability and Cyber Threat Monitoring 24/7 (英語)
  
  • phpBB Security Advisories
    
  • phpBB - Search Advisories and Vulnerabilities
  
  
• Secunia - Vulnerability and Virus Information (英語)
  
  • Vulnerability Report - phpBB 2.x
    
  • Vulnerability Report - Attachment Mod 2.x (module for phpBB)
    
  • Vulnerability Report - Cash_Mod 2.x (module for phpBB)
    
  • Vulnerability Report - Personal Notes 1.x (module for phpBB)
    
  • Vulnerability Report - phpBB Advanced Quick Reply Mod 1.x
    
  • Vulnerability Report - phpbb-Auction 1.x (module for phpBB)
    
  • Vulnerability Report - Topic calendar 1.x (module for phpBB)
  
  　phpBB2オーナーさんは上記サイトを定期的に覗いてください。

▼被アタック情報サイト

• Zone-H.org (英語)
  　アタック／ハイジャックされた時のページをアーカイブしています。
  
  • Zone-H.org : Searching for: phpbb
  
  

★URI に phpbb が含まれているサイトばかりが狙われています。お気を付けくださいませ。

どうやら、2.0.15 以前のバージョンに深刻な穴が存在するようです。

危険度は、
FrSIRT：4段階の2番目【High Risk：高い】
Secunia：5段階の2番目【Highly Critical：高い】

対策は、2.0.16 にアップデートすること。


★ソース

• オープンソースのコミュニティ・サイト構築ソフト「phpBB」に危険なセキュリティ・ホール : IT Pro ニュース
  
• FrSIRT Advisories - phpBB "viewtopic.php" Remote PHP Code Execution Vulnerability / Exploit

【セキュリティアラート】phpBB 2.0.17以前

危険度は、
FrSIRT：4段階の2番目【High Risk：高い】
Secunia：5段階の2番目【Highly Critical：高い】

対策は、2.0.18 にアップデートすること。


★ソース

• http://www.frsirt.com/english/advisories/2005/2250
  
• http://secunia.com/advisories/17366/
  

【セキュリティアラート】phpBB 2.0.18以前

ある URL 記述によって、JavaScript 絡みの XSS が発生する可能性あり。

★危険度：

• FrSIRT：4段階の4番目【Low Risk：低い】
  
• Secunia：5段階の4番目【Less critical：重大ではない】
  

★対策：

• パッチなし。
  
• ACP 一般設定 HTMLの使用【いいえ】にする。
  

★ソース：

• http://www.frsirt.com/english/advisories/2005/2991
  
• http://secunia.com/advisories/18125/
  

【セキュリティアラート】phpBB 2.0.19以前

リモートアバターで XSS が発生する可能性あり。

★危険度：

• FrSIRT：1/4段階【Low Risk：低い】
  
• Secunia：2/5段階【Less critical：重大ではない】
  

★対策：

• パッチなし。
  
• ACP 一般設定 他サイトの画像の使用【いいえ】にする。
  

★ソース：

• http://www.frsirt.com/english/advisories/2006/0445
  
• http://secunia.com/advisories/18693/
  

これに補い、リモートアバターの設定を不可にしました。
また、アバターのアップロードを許可しました。

【セキュリティアラート】phpBB 2.0.19以前

「パスワードを忘れました」のリクエストが大量実行の可能性のあるバグが存在します。
gen_rand_string() の欠陥。

★危険度：

• FrSIRT：1/4段階【Low Risk：低い】
  
• Secunia：1/5段階【Not critical：まったく重大ではない】
  

★対策：

• パッチなし。
  

★ソース：

• http://www.frsirt.com/english/advisories/2006/0461
  
• http://secunia.com/advisories/18727/
  

本体および MOD にて、いくつかのセキュリティ警告が発せられています。
各自、お気をつけくださいませ。

・本体
アップロードアバターによる他のサイトへの誘導
http://www.securityfocus.com/archive/1/433858 【危険度：2/4段階】May 12 2006
http://secunia.com/advisories/20093/ 【危険度：1/5段階】2006-05-16

・MOD
foing 0.x（0.7以前）
http://secunia.com/advisories/20092/ 【危険度：4/5段階】2006-05-15

「アバタアップロードを禁止する」が解決策みたいですねえ。

THoRCMS という MOD にて、重大なセキュリティ警告が出ています。
古い MOD ですし、すでに開発も停止状態のようでもあるようですし、まあ、日本人で採用している方はいないかと思いますが、念のため、お気をつけください。

・MOD
THoRCMS 1.x http://secunia.com/product/10648/
http://secunia.com/advisories/20815/ 【危険度：4/5段階】2006-06-26

phpBB3 に中レベルのセキュリティ警告が出ています。
お気をつけくださいませ。

・phpBB3
memberlist.php の穴により SQL に書き込まれる脆弱性
http://www.securityfocus.com/bid/18969 【危険度：2/4段階】2006-07-13