Bulletin d'alerte Debian

DLA-551-1 phpmyadmin -- Mise à jour de sécurité pour LTS

Date du rapport :
17 juillet 2016
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-5731, CVE-2016-5733, CVE-2016-5739.
Plus de précisions :

Il a été signalé que Phpmyadmin, un outil d'administration web pour MySQL, comportait plusieurs vulnérabilités de script intersite (XSS).

  • CVE-2016-5731

    Il est possible, avec une requête contrefaite pour l'occasion de déclencher une attaque de script intersite (XSS) à travers le script d'authentification OpenID.

  • CVE-2016-5733

    Plusieurs vulnérabilités de script intersite ont été découvertes dans la fonction Transformation. Une vulnérabilité a aussi été signalée permettant à un serveur MySQL configuré de façon particulière d'exécuter une attaque de script intersite. Cette attaque particulière nécessite de configurer la directive log_bin du serveur MySQL avec la charge utile.

  • CVE-2016-5739

    Une vulnérabilité a été signalée dans laquelle une Transformation contrefaite pour l'occasion pourrait être utilisée pour divulguer des informations y compris le jeton d'authentification. Cela pourrait être utilisé pour diriger une attaque de contrefaçon de requête intersite (CSRF) à l'encontre d'un utilisateur.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4:3.4.11.1-2+deb7u5.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.