Bulletin d'alerte Debian

DSA-2139-1 phpmyadmin -- Plusieurs vulnérabilités

Date du rapport :
31 décembre 2010
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un outil pour administrer MySQL par le web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2010-4329

    Un script intersite était possible dans la recherche, permettant à un attaquant distant d'injecter un script web arbitraire ou du HTML.

  • CVE-2010-4480

    Un script intersite était possible dans les erreurs, permettant à un attaquant distant d'injecter un script web arbitraire ou du HTML.

  • CVE-2010-4481

    L'affichage de la fonction phpinfo() de PHP était accessible à tous, mais seulement si cette fonctionnalité avait été activée (elle ne l'est pas par défaut). Cela peut divulguer quelques renseignements à propos du système hôte.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.11.8.1-5+lenny7.

Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ces problèmes ont été corrigés dans la version 3.3.7-3.

Nous vous recommandons de mettre à jour votre paquet phpmyadmin.

De plus amples renseignements à propos des annonces de sécurité Debian, la méthode pour appliquer ces mises à jour sur votre système et les questions récurrentes peuvent être consultés en : https://www.debian.org/security/