S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 01 août 2008 No CERTA-2008-AVI-383

Affaire suivie par :

CERTA

Objet : Vulnérabilités de phpMyAdmin

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Injection de code indirecte ;
• atteinte à l'intégrité des données.

2 Systèmes affectés

3 Résumé

4 Description

Une première vulnérabilité réside dans un manque de vérification lors des requêtes HTTP. Le détournement par un utilisateur malveillant d'une requête d'un utilisateur authentifié peut conduire à la création d'une base de données ou à la modification du jeu de caractères à l'insu de ce dernier.

Une deuxième vulnérabilité permet à un utilisateur malveillant de réaliser de l'injection de code indirecte (cross site scripting).

5 Solution

La version 2.11.8 ne présente pas ces vulnérabilités. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Site de téléchargement du projet phpMyAdmin :

  http://www.phpMyAdmin.net
  

• Bulletins de sécurité du projet phpMyAdmin :

  http://www.phpMyAdmin.net/home_page/security.php?issue=PMASA-2008-5
  

  http://www.phpMyAdmin.net/home_page/security.php?issue=PMASA-2008-6
  

• Référence CVE CVE-2008-3197 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3197
  

Gestion détaillée du document

01 août 2008

version initiale.