Bulletin d'alerte Debian
DSA-1641-1 phpmyadmin -- Plusieurs vulnérabilités
- Date du rapport :
- 20 septembre 2008
- Paquets concernés :
- phpmyadmin
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2008-3197, CVE-2008-3456, CVE-2008-3457, CVE-2008-4096.
- Plus de précisions :
-
Plusieurs vulnérabilités à distance ont été découvertes dans phpMyAdmin, un outil pour administrer des bases de données MySQL via le réseau. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2008-4096
Des utilisateurs distants authentifiés pouvaient exécuter du code arbitraire sur la machine sur laquelle tourne phpMyAdmin par la manipulation d'un paramètre de script.
- CVE-2008-3457
Exploiter une faille de type script intersite avec le script d'installation était possible dans des circonstances rares.
- CVE-2008-3456
Une protection a été ajoutée contre les sites web distants qui chargent phpMyAdmin dans un frameset.
- CVE-2008-3197
La falsification d'une requête intersite permettait à des attaquants distants de créer une nouvelle base de données, mais pas d'effectuer d'autre action dessus.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 4:2.9.1.1-8.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:2.11.8.1-2.
Nous vous recommandons de mettre à jour votre paquet phpmyadmin.
- CVE-2008-4096
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.