 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 25 octobre 2005
No CERTA-2005-AVI-422 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilité dans
phpMyAdmin
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-422 |
| Titre |
Vulnérabilité dans
phpMyAdmin |
| Date de la première
version |
25 octobre 2005 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité phpMyAdmin PMASA-2005-5 du
22 octobre 2005 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Atteinte à la confidentialité des
données ;
- attaque de type Cross-Site
Scripting.
phpMyAdmin versions 2.6.4-pl2 et antérieures.
Deux vulnérabilités présentes dans
phpMyAdmin permettent à un utilisateur distant
de porter atteinte à la confidentialité des
données ou d'effectuer une attaque de type Cross-Site Scripting.
Deux vulnérabilités sont présentes dans
phpMyAdmin :
- La première vulnérabilité est due
à un manque de contrôle des paramètres
passés à certains scripts php
permettant à un utilisateur mal intentionné de
modifier certains paramètres sensibles de phpMyAdmin
par le biais d'une requête malicieusement
construite.
- la seconde vulnérabilité est due à
une vérification trop faible des paramètres
passés aux scripts : left.php,
queryframe.php et server_databases.php.
Ceci permet d'exécuter du script potentiellement
malveillant au cours d'une consultation par un navigateur
tierce.
Ces deux failles permettent soit de porter atteinte à la
confidentialité des données soit d'effectuer une
attaque de type Cross-Site
Scripting.
La version 2.6.4-pl3 de phpMyAdmin corrige le
problème :
http://www.phpmyadmin.net/home_page/downloads.php
- 25 octobre 2005
- version initiale.
CERTA
2012-01-04
|
|
)
