LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-834-1 phpmyadmin

Bulletin d'alerte Debian

DLA-834-1 phpmyadmin -- Mise à jour de sécurité pour LTS

Date du rapport :

24 février 2017

Paquets concernés :

phpmyadmin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-6621.

Plus de précisions :

Une vulnérabilité de contrefaçon de requête coté serveur (SSRF) a été signalée pour le script de configuration dans phpmyadmin, un outil d’administration pour MYSQL. Ce défaut pouvait permettre à un attaquant non authentifié de retrouver par force brute les mots de passe pour MYSQL, de détecter les noms d’hôte internes et les ports ouverts sur le réseau interne. De plus, il existait une situation de compétition entre l’écriture de configuration et l’administrateur la modifiant, permettant à un utilisateur non authentifié de le lire ou de le changer. Les utilisateurs de Debian qui configurent phpmyadmin à l’aide de debconf et utilisent la configuration par défaut pour Apache 2 ou Lighttpd n’ont jamais été affectés.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4:3.4.11.1-2+deb7u8.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.