LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-0014-1 phpmyadmin

Bulletin d'alerte Debian

DLA-0014-1 phpmyadmin -- Mise à jour de sécurité pour LTS

Date du rapport :

9 juillet 2014

Paquets concernés :

phpmyadmin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-3239, CVE-2013-4995, CVE-2013-4996, CVE-2013-5003.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un outil pour administrer MySQL par le web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2013-3239

  Des utilisateurs authentifiés pourraient exécuter du code arbitraire, lorsque un répertoire SaveDir est configuré et que le serveur HTTP Apache a le module mod_mime activé, en employant des noms de fichiers avec une extension double.

• CVE-2013-4995

  Des utilisateurs authentifiés pourraient injecter un script web arbitraire ou du HTML à l'aide d'une requête SQL contrefaite.

• CVE-2013-4996

  Une vulnérabilité de script intersite était possible à l'aide d'une URL de logo contrefaite dans le panneau de navigation ou d'une entrée contrefaite dans la liste des serveurs mandataires de confiance (« List of Trusted Proxies »).

• CVE-2013-5003

  Des utilisateurs authentifiés pourraient exécuter des commandes SQL arbitraires en tant qu'« utilisateur de contrôle » de phpMyAdmin à l'aide du paramètre échelle de pmd_pdf export.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 4:3.3.7-8 de phpmyadmin.