Bulletin d'alerte Debian
DSA-3382-1 phpmyadmin -- Mise à jour de sécurité
- Date du rapport :
- 28 octobre 2015
- Paquets concernés :
- phpmyadmin
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 774194.
Dans le dictionnaire CVE du Mitre : CVE-2014-8958, CVE-2014-9218, CVE-2015-2206, CVE-2015-3902, CVE-2015-3903, CVE-2015-6830, CVE-2015-7873. - Plus de précisions :
-
Plusieurs problèmes ont été corrigés dans phpMyAdmin, un outil web d'administration de MySQL.
- CVE-2014-8958
(affecte seulement Wheezy)
Plusieurs vulnérabilités de script intersite (XSS).
- CVE-2014-9218
(affecte seulement Wheezy)
Déni de service (consommation de ressources) à l'aide d'un mot de passe long.
- CVE-2015-2206
Risque d'attaque de type BREACH (
Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext
) dû à un paramètre réfléchi. - CVE-2015-3902
Une vulnérabilité par contrefaçon de requête intersite (XSRF/CSRF) dans la configuration de phpMyAdmin.
- CVE-2015-3903
(affecte seulement Jessie)
Une vulnérabilité permettant une attaque de type « homme du milieu » dans l'appel de l'API à GitHub.
- CVE-2015-6830
affecte seulement Jessie)
Une vulnérabilité qui permet de contourner le test de reCaptcha.
- CVE-2015-7873
(affecte seulement Jessie)
Une vulnérabilité d'usurpation de contenu lors de la redirection d'un utilisateur vers un site extérieur.
Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 4:3.4.11.1-2+deb7u2.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4:4.2.12-2+deb8u1.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:4.5.1-1.
Nous vous recommandons de mettre à jour vos paquets phpmyadmin.
- CVE-2014-8958
(affecte seulement Wheezy)