Bulletin d'alerte Debian

DLA-481-1 phpmyadmin -- Mise à jour de sécurité pour LTS

Date du rapport :
18 mai 2016
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-1927, CVE-2016-2038, CVE-2016-2039, CVE-2016-2040, CVE-2016-2041, CVE-2016-2045, CVE-2016-2560.
Plus de précisions :

Cette mise à jour de sécurité corrige un certain nombre de problèmes de sécurité dans phpMyAdmin. Nous vous recommandons de mettre à niveau vos paquets phpmyadmin.

  • CVE-2016-1927

    La fonction suggestPassword génère des phrases secrètes faibles.

  • CVE-2016-2038

    Divulgation d'informations au moyen de requêtes contrefaites.

  • CVE-2016-2039

    Valeur faible de jetons CSRF.

  • CVE-2016-2040

    Vulnérabilités de script intersite (XSS) dans les utilisateurs authentifiés.

  • CVE-2016-2041

    Brèche d'information dans la comparaison de jetons CSRF.

  • CVE-2016-2045

    Injection de script intersite (XSS) au moyen de requêtes SQL contrefaites.

  • CVE-2016-2560

    Injection de script intersite (XSS).

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4:3.4.11.1-2+deb7u3 de phpmyadmin