Bulletin d'alerte Debian

DSA-1641-1 phpmyadmin -- Plusieurs vulnérabilités

Date du rapport :

20 septembre 2008

Paquets concernés :

phpmyadmin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2008-3197, CVE-2008-3456, CVE-2008-3457, CVE-2008-4096.

Plus de précisions :

Plusieurs vulnérabilités à distance ont été découvertes dans phpMyAdmin, un outil pour administrer des bases de données MySQL via le réseau. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

CVE-2008-4096
Des utilisateurs distants authentifiés pouvaient exécuter du code arbitraire sur la machine sur laquelle tourne phpMyAdmin par la manipulation d'un paramètre de script.
CVE-2008-3457
Exploiter une faille de type script intersite avec le script d'installation était possible dans des circonstances rares.
CVE-2008-3456
Une protection a été ajoutée contre les sites web distants qui chargent phpMyAdmin dans un frameset.
CVE-2008-3197
La falsification d'une requête intersite permettait à des attaquants distants de créer une nouvelle base de données, mais pas d'effectuer d'autre action dessus.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 4:2.9.1.1-8.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:2.11.8.1-2.

Nous vous recommandons de mettre à jour votre paquet phpmyadmin.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.dsc; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.diff.gz; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.