Bulletin d'alerte Debian

DLA-757-1 phpmyadmin -- Mise à jour de sécurité pour LTS

Date du rapport :
24 décembre 2016
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-4412, CVE-2016-6626, CVE-2016-9849, CVE-2016-9850, CVE-2016-9861, CVE-2016-9864, CVE-2016-9865.
Plus de précisions :

Divers problèmes de sécurité ont été découverts et corrigés dans phpMyAdmin dans Wheezy.

  • CVE-2016-4412 / PMASA-2016-57

    Un utilisateur peut être piégé à suivre un lien menant à phpMyAdmin, qui, après authentification, redirige vers un autre site malveillant.

  • CVE-2016-6626 / PMASA-2016-49

    Dans le correctif pour PMASA-2016-57, il n'y avait pas suffisamment de vérifications et il était possible de contourner la liste blanche.

  • CVE-2016-9849 / PMASA-2016-60

    Contournement des règles deny (AllowRoot & Others) en utilisant un octet Null.

  • CVE-2016-9850 / PMASA-2016-61

    La correspondance de nom d'utilisateur pour les règles allow/deny peut avoir pour conséquence des mauvaises correspondances et détections du nom d'utilisateur dans la règle du fait d'un temps d'exécution non constant.

  • CVE-2016-9861 / PMASA-2016-66

    Dans le correctif pour PMASA-2016-49, il y avait des vérifications boguées et il était possible de contourner la liste blanche.

  • CVE-2016-9864 / PMASA-2016-69

    Plusieurs vulnérabilités d'injection SQL.

  • CVE-2016-9865 / PMASA-2016-70

    Du fait d'un bogue dans l'analyse d'une chaîne sérialisée, il était possible de contourner la protection offerte par la fonction PMA_safeUnserialize().

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4:3.4.11.1-2+deb7u7.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.