Bulletin d'alerte Debian

DLA-2154-1 phpmyadmin -- Mise à jour de sécurité pour LTS

Date du rapport :
22 mars 2020
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 954665, Bogue 954666.
Dans le dictionnaire CVE du Mitre : CVE-2020-10802, CVE-2020-10803.
Plus de précisions :

Les CVE suivants ont été signalés envers phpmyadmin.

  • CVE-2020-10802

    Dans phpMyAdmin 4.x avant 4.9.5, une vulnérabilité d’injection SQL a été découverte quand certains paramètres ne sont pas correctement protégés lors de la création de requêtes pour des actions de recherche dans libraries/classes/Controllers/Table/TableSearchController.php. Un attaquant peut générer une base de données ou un nom de table contrefaits. L’attaque peut être réalisée si un utilisateur tente certaines opérations de recherche dans la base de données ou la table malveillante.

  • CVE-2020-10803

    Dans phpMyAdmin 4.x avant 4.9.5, une vulnérabilité d’injection SQL a été découverte où du code malveillant pourrait être utilisé pour déclencher une attaque XSS jusqu’à récupérer et afficher des résultats (dans tbl_get_field.php et libraries/classes/Display/Results.php). L’attaquant doit être capable d’insérer des données contrefaites dans certaines tables de base de données, ce qui, lorsque de leur récupération (par exemple, à travers la table Browse), permet de déclencher une attaque XSS.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4:4.2.12-2+deb8u9.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.