Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- phpMyAdmin 2.x.
Résumé
Une vulnérabilité dans phpMyAdmin permet à un utilisateur distant d'exécuter du code arbitraire.
Description
Une vulnérabilité dans le fichier server_databases.php permet à un utilisateur distant, précédemment authentifié, d'exécuter du code arbitraire de type shell.
Cette vulnérabilité ne peut être exploitée que si la configuration du serveur PHP autorise les commandes de type exec.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs. (cf. section Documentation).
Documentation
- Bulletin de sécurité FEDORA-2008-8269 https://www.redhat.com/archives/fedora-package-announce/2008-september/msg01137.html
- Bulletin de sécurité FEDORA-2008-8286 https://www.redhat.com/archives/fedora-package-announce/2008-september/msg01155.html
- Bulletin de sécurité FEDORA-2008-8335 https://www.redhat.com/archives/fedora-package-announce/2008-september/msg01228.html
- Bulletin de sécurité FEDORA-2008-8370 https://www.redhat.com/archives/fedora-package-announce/2008-september/msg01290.html
- Bulletin de sécurité phpMyAdmin PMASA-2008-7 du 15 septembre 2008 : http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-7
- Référence CVE CVE-2008-4096 https://www.cve.org/CVERecord?id=CVE-2008-4096
