S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 26 mars 2009
No CERTA-2009-AVI-117 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
phpMyAdmin
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-117 |
| Titre |
Vulnérabilités
dans phpMyAdmin |
| Date de la première
version |
26 mars 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité phpMyAdmin PMASA-2009-1 du
24 mars 2009 |
| |
Bulletin de
sécurité phpMyAdmin PMASA-2009-2 du
24 mars 2009 |
| |
Bulletin de
sécurité phpMyAdmin PMASA-2009-3 du
24 mars 2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- injections de code indirectes.
- phpMyAdmin versions 2.11.x
antérieures à 2.11.9.5 ;
- phpMyAdmin versions 3.x
antérieures à 3.1.3.1.
Plusieurs vulnérabilités dans phpMyAdmin permettent de réaliser des
injections de code indirectes et d'exécuter du code
arbitraire à distance.
Plusieurs vulnérabilités ont été
découvertes dans phpMyAdmin
:
- la fonctionnalité des flux BLOB permet
d'inclure des fichiers distants et d'injecter des
entêtes HTTP (PMASA-2009-1). Cette
vulnérabilité n'affecte que les versions depuis
3.1.0.0 ;
- la page d'export fait appel à des cookies qui peuvent être
modifiés de telle sorte à réaliser une
attaque de type cross-site
scripting (PMASA-2009-2) ;
- les scripts d'installation utilisés pour
créer le fichier de configuration peuvent être
détournés au moyen d'une requête
POST afin de provoquer l'inclusion d'un fichier
distant (PMASA-2009-3).
Se référer aux bulletins de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 26 mars 2009
- version initiale.
CERTA
2012-01-04
|
)
