Bulletin d'alerte Debian
DSA-1207-2 phpmyadmin -- Plusieurs vulnérabilités
- Date du rapport :
- 9 novembre 2006
- Paquets concernés :
- phpmyadmin
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 339437, Bogue 340438, Bogue 362567, Bogue 368082, Bogue 391090.
Dans le dictionnaire CVE du Mitre : CVE-2006-1678, CVE-2006-2418, CVE-2005-3621, CVE-2005-3665, CVE-2006-5116. - Plus de précisions :
-
La mise à jour de phpmyadmin dans l'annonce de sécurité Debian n° 1207 a introduit une régression. Cette mise à jour corrige ce défaut. Pour être complet, veuillez trouver ci-dessous le texte de l'annonce initiale :
Plusieurs vulnérabilités à distance ont été découvertes dans phpMyAdmin, un programme pour administrer MySQL sur une interface web. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2005-3621
Une vulnérabilité d'injection CRLF permet à des attaquants distants de mener des attaques par scission de réponses HTTP.
- CVE-2005-3665
Plusieurs vulnérabilités de script intersites permettent à des attaquants distants d'injecter un script web ou de HTML arbitraire via (1) la variable HTTP_HOST et (2) divers scripts dans le répertoire des bibliothèques qui gèrent la génération des en-têtes.
- CVE-2006-1678
Plusieurs vulnérabilités de script intersites permettent à des attaquants distants d'injecter un script web ou de HTML arbitraire via des scripts dans le répertoire des thèmes.
- CVE-2006-2418
Une vulnérabilité de script intersites permet à des attaquants distants d'injecter un script web ou de HTML arbitraire via l'argument db de footer.inc.php.
- CVE-2006-5116
Un attaquant distant peut écraser des variables internes avec la variable globale _FILES.
Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.6.2-3sarge3.
Pour la prochaine distribution stable (Etch) et la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.9.0.3-1.
Nous vous recommandons de mettre à jour votre paquet phpmyadmin.
- CVE-2005-3621
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.