Bulletin d'alerte Debian

DSA-1370-1 phpmyadmin -- Plusieurs vulnérabilités

Date du rapport :
9 septembre 2007
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2006-6942, CVE-2006-6944, CVE-2007-1325, CVE-2007-1395, CVE-2007-2245.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un programme d'administration de MySQL sur la Toile. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

  • CVE-2007-1325

    La fonction PMA_ArrayWalkRecursive dans libraries/common.lib.php ne limite pas la récursion sur les tableaux fournis par les utilisateurs, cela permet à des attaquants dépendant du contexte de générer un déni de service (plantage du serveur web) par l'intermédiaire d'un tableau avec de nombreuses dimensions.

    Ce problème n'affecte que la distribution stable (Etch).

  • CVE-2007-1395

    Une vulnérabilité de liste noire incomplète dans index.php permet à des attaquants distants de mener des attaques intersites en injectant du HTML ou du JavaScript arbitraire dans une valeur de paramètre de (1) db ou (2) table suivie d'une étiquette fermante </SCRIPT> en majuscule, ce qui contourne la protection contre </script> en minuscules.

    Ce problème n'affecte que la distribution stable (Etch).

  • CVE-2007-2245

    Plusieurs vulnérabilités de script intersite permettent à des attaquants distants d'injecter du HTML ou un script web quelconque par l'intermédiaire (1) du paramètre fieldkey de browse_foreigners.php ou (2) de certaines entrées à la fonction PMA_sanitize.

  • CVE-2006-6942

    Plusieurs vulnérabilités de script intersite permettent à des attaquants distants d'injecter du HTML ou un script web arbitraire par l'intermédiaire (1) d'un commentaire d'un nom de table, comme exploité via (a) db_operations.php, (2) du paramètre db de (b) db_create.php, (3) du paramètre newname de db_operations.php, des paramètres (4) query_history_latest, (5) query_history_latest_db, et (6) querydisplay_tab de (c) querywindow.php, et (7) du paramètre pos de (d) sql.php.

    Ce problème n'affecte que l'ancienne distribution stable (Sarge).

  • CVE-2006-6944

    phpMyAdmin permet à des attaquants distants de contourner les règles d'accès Allow/Deny qui utilisent les adresses IP par l'intermédiaire de faux en-têtes.

    Ce problème n'affecte que l'ancienne distribution stable (Sarge).

Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.6.2-3sarge5.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.9.1.1-4.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.10.1-1.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge5.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge5.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge5_all.deb

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-4.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-4.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-4_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.