Bulletin d'alerte Debian

DSA-880-1 phpmyadmin -- Plusieurs vulnérabilités

Date du rapport :
2 novembre 2005
Paquets concernés :
phpmyadmin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 328501, Bogue 335306, Bogue 335513.
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 15169.
Dans le dictionnaire CVE du Mitre : CVE-2005-2869, CVE-2005-3300, CVE-2005-3301.
Plus de précisions :

Plusieurs vulnérabilités de scripts intersites ont été découvertes dans phpmyadmin, un ensemble de scripts PHP pour administrer MySQL à travers le web. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

  • CAN-2005-2869

    Andreas Kerber et Michal Cihar ont découvert plusieurs vulnérabilités de scripts intersites dans la page d'erreur et le « cookie » d'authentification.

  • CVE-2005-3300

    Stefan Esser a découvert que l'absence de certaines vérifications de sécurité dans grab_globals.php pouvait permettre à un attaquant de faire inclure par phpmyadmin un fichier local arbitraire.

  • CVE-2005-3301

    Tobias Klein a découvert plusieurs vulnérabilités de scripts intersites qui pouvaient permettre aux attaquants d'injecter du code HTML arbitraire ou des scripts exécutés par le client.

La version disponible dans l'ancienne distribution stable (Woody) a sans doute ses propres défauts qui ne sont pas faciles à corriger dans un audit complet et une grande quantité de correctifs. Le plus simple est d'effectuer une mise à niveau de Woody vers Sarge.

Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.6.2-3sarge1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.6.4-pl3-1.

Nous vous recommandons de mettre à jour votre paquet phpmyadmin.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.