Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2975-1 phpmyadmin

Bulletin d'alerte Debian

DSA-2975-1 phpmyadmin -- Mise à jour de sécurité

Date du rapport :

9 juillet 2014

Paquets concernés :

phpmyadmin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-4995, CVE-2013-4996, CVE-2013-5002, CVE-2013-5003, CVE-2014-1879.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un outil pour administrer MySQL par le web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2013-4995

  Des utilisateurs authentifiés pourraient injecter un script web arbitraire ou du HTML à l'aide d'une requête SQL contrefaite.

• CVE-2013-4996

  Une vulnérabilité de script intersite était possible à l'aide d'une URL de logo contrefaite dans le panneau de navigation ou d'une entrée contrefaite dans la liste des serveurs mandataires de confiance (List of Trusted Proxies).

• CVE-2013-5002

  Des utilisateurs authentifiés pourraient injecter un script web arbitraire ou du HTML à l'aide d'une valeur pageNumber contrefaite dans Schema Export.

• CVE-2013-5003

  Des utilisateurs authentifiés pourraient exécuter des commandes SQL arbitraires en tant qu'utilisateur de contrôle de phpMyAdmin à l'aide du paramètre échelle de pmd_pdf export ou du paramètre pdf_page_number dans Schema Export.

• CVE-2014-1879

  Des utilisateurs authentifiés pourraient injecter un script web arbitraire ou du HTML à l'aide d'un nom de fichier contrefait dans la fonction Import.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4:3.4.11.1-2+deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:4.2.5-1.

Nous vous recommandons de mettre à jour vos paquets phpmyadmin.