Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 juin 2008

N° CERTA-2008-AVI-334

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans phpMyAdmin

Gestion du document

Référence	CERTA-2008-AVI-334
Titre	Vulnérabilité dans phpMyAdmin
Date de la première version	24 juin 2008
Date de la dernière version	27 juin 2008
Source(s)	Bulletin de sécurité phpMyAdmin PMASA-2008-4 du 23 juin 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte à distance (XSS)

Systèmes affectés

phpMyAdmin versions 2.11.6 et antérieures.

Résumé

Une vulnérabilité dans phpMyAdmin permet de réaliser des attaques de type cross-site scripting.

Description

Une vulnérabilité a été découverte dans phpMyAdmin. Cette vulnérabilité permet, dans une configuration bien particulière, de réaliser des attaques de type cross-site scripting.

Solution

Mettre à jour phpMyAdmin en version 2.11.7.

Documentation

Bulletin de sécurité Fedora 8 FEDORA-2008-5640 du 25 juin 2008 :

http://www.redhat.com/archives/fedora-package-announce/2008-June/msg00917.html

Bulletin de sécurité Fedora 9 FEDORA-2008-5676 du 25 juin 2008 :

http://www.redhat.com/archives/fedora-package-announce/2008-June/msg00946.html

Bulletin de sécurité phpMyAdmin PMASA-2008-4 du 23 juin 2008 :

http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-4

Téléchargement de phpMyAdmin :

http://www.phpmyadmin.net/home_page/downloads.php

Gestion détaillée du document

le 24 juin 2008: version initiale.
le 27 juin 2008: ajout des références aux bulletins de sécurité Fedora.