 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 26 juillet 2011
No CERTA-2011-AVI-411 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
phpMyAdmin
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-411 |
| Titre |
Vulnérabilités
dans phpMyAdmin |
| Date de la première
version |
26 juillet 2011 |
| Date de la dernière
version |
- |
| Sources |
Bulletins de
sécurité phpMyAdmin PMASA-2011-9
à PMASA-2011-12 du 23 juillet 2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- contournement de la politique de sécurité
;
- injection de code indirecte à distance.
phpMyAdmin 3.4.x et 3.3.x.
Plusieurs vulnérabilités affectent phpMyAdmin.
Certaines permettent d'exécuter à distance du
code sur le serveur vulnérable.
Quatre vulnérabilités de phpMyAdmin ont
été corrigées :
- un défaut dans le script d'affichage des tables
permet de réaliser de l'injection de code indirecte
(XSS) ;
- dans certaines configurations, une transformation de type
MIME permet de réaliser de l'injection de code locale
(LFI) ;
- une vulnérabilité permet de réaliser
de l'injection de code locale (LFI). Cette exploitation
requiert une authentification préalable ;
- des variables PHP, parmi lesquelels la variable SESSION, peuvent être
manipulées.
Les versions 3.3.10.3 et 3.4.3.2 de phpMyAdmin corrigent ces
problèmes.
Se référer aux bulletins de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 26 juillet 2011
- version initiale.
CERTA
2012-01-04
|
|
)
