Bulletin d'alerte Debian

DLA-2060-1 phpmyadmin -- Mise à jour de sécurité pour LTS

Date du rapport :
16 janvier 2020
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 948718.
Dans le dictionnaire CVE du Mitre : CVE-2020-5504.
Plus de précisions :

Dans phpMyAdmin 4 avant 4.9.4 et 5 avant 5.0.1, une injection SQL existe dans la page des comptes d’utilisateurs. Un utilisateur malveillant pourrait injecter du SQL personnalisé à la place de son propre nom d’utilisateur lors de la création de requête sur cette page. Un attaquant doit avoir un compte MySQL valable pour accéder au serveur.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 4:4.2.12-2+deb8u8.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.