Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2286-1 phpmyadmin

Bulletin d'alerte Debian

DSA-2286-1 phpmyadmin -- Plusieurs vulnérabilités

Date du rapport :

26 juillet 2011

Paquets concernés :

phpmyadmin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-2505, CVE-2011-2506, CVE-2011-2507, CVE-2011-2508, CVE-2011-2642.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un outil web pour administrer MySQL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2011-2505

  Manipulation de session possible dans l'authentification Swekey.

• CVE-2011-2506

  Injection de code possible dans le script de configuration, lorsque certaines variables de session sont compromises.

• CVE-2011-2507

  Problème de protection d'expressions régulières dans le code de Synchronize.

• CVE-2011-2508

  Traversée de répertoires possible dans la transformation de type MIME.

• CVE-2011-2642

  Attaques de script intersite possibles dans la vue d'affichage (Print view) de la table en créant des noms de table contrefaits.

• Pas de nom CVE pour le moment

  Manipulation possible de variables superglobales et locales dans l'authentification Swekey. (PMASA-2011-12)

La distribution oldstable (Lenny) est uniquement concernée par CVE-2011-2642, qui a été corrigé dans la version 2.11.8.1-5+lenny9.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.3.7-6.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.4.3.2-1.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.