Bulletin d'alerte Debian
DSA-2139-1 phpmyadmin -- Plusieurs vulnérabilités
- Date du rapport :
- 31 décembre 2010
- Paquets concernés :
- phpmyadmin
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un outil pour administrer MySQL par le web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2010-4329
Un script intersite était possible dans la recherche, permettant à un attaquant distant d'injecter un script web arbitraire ou du HTML.
- CVE-2010-4480
Un script intersite était possible dans les erreurs, permettant à un attaquant distant d'injecter un script web arbitraire ou du HTML.
- CVE-2010-4481
L'affichage de la fonction phpinfo() de PHP était accessible à tous, mais seulement si cette fonctionnalité avait été activée (elle ne l'est pas par défaut). Cela peut divulguer quelques renseignements à propos du système hôte.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.11.8.1-5+lenny7.
Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ces problèmes ont été corrigés dans la version 3.3.7-3.
Nous vous recommandons de mettre à jour votre paquet phpmyadmin.
De plus amples renseignements à propos des annonces de sécurité Debian, la méthode pour appliquer ces mises à jour sur votre système et les questions récurrentes peuvent être consultés en : https://www.debian.org/security/
- CVE-2010-4329