S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 mars 2009
N° CERTA-2009-AVI-117
Affaire suivie par: CERT-FR
le 26 mars 2009

Avis du CERT-FR

Objet: Vulnérabilités dans phpMyAdmin

Gestion du document

Référence CERTA-2009-AVI-117
Titre Vulnérabilités dans phpMyAdmin
Date de la première version 26 mars 2009
Date de la dernière version 26 mars 2009
Source(s) Bulletin de sécurité phpMyAdmin PMASA-2009-1 du 24 mars 2009
Bulletin de sécurité phpMyAdmin PMASA-2009-2 du 24 mars 2009
Bulletin de sécurité phpMyAdmin PMASA-2009-3 du 24 mars 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • injections de code indirectes.

Systèmes affectés

  • phpMyAdmin versions 2.11.x antérieures à 2.11.9.5 ;
  • phpMyAdmin versions 3.x antérieures à 3.1.3.1.

Résumé

Plusieurs vulnérabilités dans phpMyAdmin permettent de réaliser des injections de code indirectes et d'exécuter du code arbitraire à distance.

Description

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin :

  • la fonctionnalité des flux BLOB permet d'inclure des fichiers distants et d'injecter des entêtes HTTP (PMASA-2009-1). Cette vulnérabilité n'affecte que les versions depuis 3.1.0.0 ;
  • la page d'export fait appel à des cookies qui peuvent être modifiés de telle sorte à réaliser une attaque de type cross-site scripting (PMASA-2009-2) ;
  • les scripts d'installation utilisés pour créer le fichier de configuration peuvent être détournés au moyen d'une requête POST afin de provoquer l'inclusion d'un fichier distant (PMASA-2009-3).

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 26 mars 2009
    version initiale.