Plusieurs vulnérabilités de scripts intersites ont été découvertes dans phpmyadmin, un ensemble de scripts PHP pour administrer MySQL à travers le web. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
Andreas Kerber et Michal Cihar ont découvert plusieurs vulnérabilités de scripts intersites dans la page d'erreur et le « cookie » d'authentification.
Stefan Esser a découvert que l'absence de certaines vérifications de sécurité dans grab_globals.php pouvait permettre à un attaquant de faire inclure par phpmyadmin un fichier local arbitraire.
Tobias Klein a découvert plusieurs vulnérabilités de scripts intersites qui pouvaient permettre aux attaquants d'injecter du code HTML arbitraire ou des scripts exécutés par le client.
La version disponible dans l'ancienne distribution stable (Woody) a sans doute ses propres défauts qui ne sont pas faciles à corriger dans un audit complet et une grande quantité de correctifs. Le plus simple est d'effectuer une mise à niveau de Woody vers Sarge.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.6.2-3sarge1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.6.4-pl3-1.
Nous vous recommandons de mettre à jour votre paquet phpmyadmin.
Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.