Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-1370-1 phpmyadmin -- Plusieurs vulnérabilités

Date du rapport:

9 septembre 2007

Paquets concernés:

phpmyadmin

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2006-6942, CVE-2006-6944, CVE-2007-1325, CVE-2007-1395, CVE-2007-2245.

Pour plus d'information:

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un programme d'administration de MySQL sur la Toile. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

• CVE-2007-1325

  La fonction PMA_ArrayWalkRecursive dans libraries/common.lib.php ne limite pas la récursion sur les tableaux fournis par les utilisateurs, cela permet à des attaquants dépendant du contexte de générer un déni de service (plantage du serveur web) par l'intermédiaire d'un tableau avec de nombreuses dimensions.

  Ce problème n'affecte que la distribution stable (Etch).

• CVE-2007-1395

  Une vulnérabilité de liste noire incomplète dans index.php permet à des attaquants distants de mener des attaques intersites en injectant du HTML ou du JavaScript arbitraire dans une valeur de paramètre de (1) db ou (2) table suivie d'une étiquette fermante </SCRIPT> en majuscule, ce qui contourne la protection contre </script> en minuscules.

  Ce problème n'affecte que la distribution stable (Etch).

• CVE-2007-2245

  Plusieurs vulnérabilités de script intersite permettent à des attaquants distants d'injecter du HTML ou un script web quelconque par l'intermédiaire (1) du paramètre fieldkey de browse_foreigners.php ou (2) de certaines entrées à la fonction PMA_sanitize.

• CVE-2006-6942

  Plusieurs vulnérabilités de script intersite permettent à des attaquants distants d'injecter du HTML ou un script web arbitraire par l'intermédiaire (1) d'un commentaire d'un nom de table, comme exploité via (a) db_operations.php, (2) du paramètre db de (b) db_create.php, (3) du paramètre newname de db_operations.php, des paramètres (4) query_history_latest, (5) query_history_latest_db, et (6) querydisplay_tab de (c) querywindow.php, et (7) du paramètre pos de (d) sql.php.

  Ce problème n'affecte que l'ancienne distribution stable (Sarge).

• CVE-2006-6944

  phpMyAdmin permet à des attaquants distants de contourner les règles d'accès Allow/Deny qui utilisent les adresses IP par l'intermédiaire de faux en-têtes.

  Ce problème n'affecte que l'ancienne distribution stable (Sarge).

Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.6.2-3sarge5.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.9.1.1-4.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.10.1-1.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.

Corrigé dans:

Debian GNU/Linux 3.1 (sarge)

Source :

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge5.dsc

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge5.diff.gz

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge5_all.deb

Debian GNU/Linux 4.0 (etch)

Source :

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-4.dsc

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-4.diff.gz

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-4_all.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English 日本語 (Nihongo) svenska

Comment configurer la langue par défaut du document