Risque
- Contournement de la politique de sécurité
Systèmes affectés
pgpPgAdmin, version 4.2.1 et versions antérieures.
Résumé
Une vulnérabilité de phpPgAdmin permet à un utilisateur malveillant de contourner la politique de sécurité.
Description
phpPgAdmin est une interface web d'administration de bases de données PostgreSQL.
La validation des données entrées par l'utilisateur est insuffisante. Cette vulnérabilité permet à un utilisateur malveillant de lire des fichiers et d'exécuter des scripts locaux avec les droits du processus du serveur web.
Solution
La version 4.2.2 résoud le problème.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- CVE-2008-5587 https://www.cve.org/CVERecord?id=CVE-2008-5587
- Bulletin de sécurité Debian DSA 1693 du 27 décembre 2008 : http://www.debian.org/security/2008/dsa-1693
- Bulletin de sécurité Fedora FEDORA-2008-11576 du 21 décembre 2008 : https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01109.html
- Bulletin de sécurité Fedora FEDORA-2008-11602 du 21 décembre 2008 : https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01025.html
- Site de téléchargement du projet phpPgAdmin : http://phpPgAdmin.sourceforge.net
- Référence CVE CVE-2008-5587 https://www.cve.org/CVERecord?id=CVE-2008-5587