Bulletin d'alerte Debian
DSA-1918-1 phpmyadmin -- Plusieurs vulnérabilités
- Date du rapport :
- 25 octobre 2009
- Paquets concernés :
- phpmyadmin
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 552194.
Dans le dictionnaire CVE du Mitre : CVE-2009-3696, CVE-2009-3697. - Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans phpMyAdmin, un outil web pour administrer MySQL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-3696
Une vulnérabilité de script intersite (XSS) permet aux attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide d'un nom de table MySQL contrefait.
- CVE-2009-3697
Une vulnérabilité d'injection SQL dans la fonctionnalité de générateur de schéma PDF permet aux attaquants distants d'exécuter des commandes SQL arbitraires. Ce problème ne concerne pas la version de Debian 4.0 Etch.
De plus, un renforcement supplémentaire a été ajouté au script setup.php pour le web. Bien que la configuration de serveur web fournie devrait s'assurer que ce script est protégé, cela s'avère ne pas être toujours le cas dans la pratique. Le fichier config.inc.php n'est plus accessible en écriture à l'utilisateur du serveur web. Consultez README.Debian pour de plus amples précisions sur la façon d'activer le script setup.php si et quand vous en avez besoin.
Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.9.1.1-13.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.11.8.1-5+lenny3.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.2.1-1.
Nous vous recommandons de mettre à jour votre paquet phpmyadmin.
- CVE-2009-3696
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13_all.deb
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
