Bulletin d'alerte Debian
DSA-1824-1 phpmyadmin -- Plusieurs vulnérabilités
- Date du rapport :
- 25 juin 2009
- Paquets concernés :
- phpmyadmin
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-1150, CVE-2009-1151.
- Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans phpMyAdmin, un outil pour administrer MySQL à travers le web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-1150
Une vulnérabilité de script intersite dans la page d'export permet à un attaquant pouvant placer des cookies contrefaits avec l'utilisateur d'injecter un script web arbitraire ou du HTML.
- CVE-2009-1151
Une injection de code statique permet à un attaquant distant d'injecter du code arbitraire dans phpMyAdmin grâce au script setup.php. Dans Debien, ce script est normalement protégé grâce à l'authenification Apache. Cependant, à cause d'un ver récent basé sur cet exploit, nous corrigeons néanmoins cela pour protéger également les installations qui, d'une façon ou d'une autre, exposent toujours le script setup.php.
Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.9.1.1-11.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.11.8.1-5+lenny1.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.1.3.1-1.
Nous vous recommandons de mettre à jour votre paquet phpmyadmin.
- CVE-2009-1150
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11_all.deb
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.