Bulletin d'alerte Debian

DSA-1641-1 phpmyadmin -- Plusieurs vulnérabilités

Date du rapport :
20 septembre 2008
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2008-3197, CVE-2008-3456, CVE-2008-3457, CVE-2008-4096.
Plus de précisions :

Plusieurs vulnérabilités à distance ont été découvertes dans phpMyAdmin, un outil pour administrer des bases de données MySQL via le réseau. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2008-4096

    Des utilisateurs distants authentifiés pouvaient exécuter du code arbitraire sur la machine sur laquelle tourne phpMyAdmin par la manipulation d'un paramètre de script.

  • CVE-2008-3457

    Exploiter une faille de type script intersite avec le script d'installation était possible dans des circonstances rares.

  • CVE-2008-3456

    Une protection a été ajoutée contre les sites web distants qui chargent phpMyAdmin dans un frameset.

  • CVE-2008-3197

    La falsification d'une requête intersite permettait à des attaquants distants de créer une nouvelle base de données, mais pas d'effectuer d'autre action dessus.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 4:2.9.1.1-8.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:2.11.8.1-2.

Nous vous recommandons de mettre à jour votre paquet phpmyadmin.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.