Informations de sécurité / 2010 / Informations sur la sécurité -- DSA-2139-1 phpmyadmin

Bulletin d'alerte Debian

DSA-2139-1 phpmyadmin -- Plusieurs vulnérabilités

Date du rapport :

31 décembre 2010

Paquets concernés :

phpmyadmin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un outil pour administrer MySQL par le web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2010-4329

  Un script intersite était possible dans la recherche, permettant à un attaquant distant d'injecter un script web arbitraire ou du HTML.

• CVE-2010-4480

  Un script intersite était possible dans les erreurs, permettant à un attaquant distant d'injecter un script web arbitraire ou du HTML.

• CVE-2010-4481

  L'affichage de la fonction phpinfo() de PHP était accessible à tous, mais seulement si cette fonctionnalité avait été activée (elle ne l'est pas par défaut). Cela peut divulguer quelques renseignements à propos du système hôte.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.11.8.1-5+lenny7.

Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ces problèmes ont été corrigés dans la version 3.3.7-3.

Nous vous recommandons de mettre à jour votre paquet phpmyadmin.

De plus amples renseignements à propos des annonces de sécurité Debian, la méthode pour appliquer ces mises à jour sur votre système et les questions récurrentes peuvent être consultés en : https://www.debian.org/security/