Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3627-1 phpmyadmin

Bulletin d'alerte Debian

DSA-3627-1 phpmyadmin -- Mise à jour de sécurité

Date du rapport :

24 juillet 2016

Paquets concernés :

phpmyadmin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-1927, CVE-2016-2039, CVE-2016-2040, CVE-2016-2041, CVE-2016-2560, CVE-2016-2561, CVE-2016-5099, CVE-2016-5701, CVE-2016-5705, CVE-2016-5706, CVE-2016-5731, CVE-2016-5733, CVE-2016-5739.

Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans phpMyAdmin, l'interface d'administration web de MySQL.

• CVE-2016-1927

  La fonction suggestPassword s'appuyait sur un générateur de nombres aléatoires non sûr qui facilite pour des attaquants distants la découverte des mots de passe générés à l'aide d'une approche par force brute.

• CVE-2016-2039

  La valeur des jetons CSRF était générée par un générateur de nombres aléatoires non sûr. Cela permet aux attaquants distants de contourner les restrictions d'accès voulues en prédisant une valeur.

• CVE-2016-2040

  Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.

• CVE-2016-2041

  phpMyAdmin n'utilise pas un algorithme en temps constant pour comparer les jetons CSRF, ce qui facilite pour des attaquants distants le contournement des restrictions d'accès voulues en mesurant les différences de temps.

• CVE-2016-2560

  Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.

• CVE-2016-2561

  Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.

• CVE-2016-5099

  Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.

• CVE-2016-5701

  Pour les installations fonctionnant en clair en HTTP, phpMyAdmin permet aux attaquants distants de conduire des attaques d'injection de BBCode à l'encontre des sessions HTTP à l'aide d'un URI contrefait.

• CVE-2016-5705

  Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.

• CVE-2016-5706

  phpMyAdmin permet aux attaquants distants de provoquer un déni de service (consommation de ressources) à l'aide d'un grand tableau dans les paramètres des scripts.

• CVE-2016-5731

  Une vulnérabilité de script intersite (XSS) permet aux attaquants distants d'injecter un script web arbitraire ou du HTML.

• CVE-2016-5733

  Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.

• CVE-2016-5739

  Une Transformation contrefaite pour l'occasion pourrait divulguer des informations dont un attaquant distant pourrait se servir pour réaliser des contrefaçons de requête intersite.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4:4.2.12-2+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:4.6.3-1.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.