Risques
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance
Systèmes affectés
phpMyAdmin 3.4.x.
Résumé
Des vulnérabilités dans phpMyAdmin permettent à un utilisateur malveillant de lire des données sensibles ou de réaliser de l'injection de code indirecte.
Description
Deux vulnérabilités de phpMyAdmin ont été corrigées :
- dans des configurations très particulières, un message d'erreur peut divulguer des informations sur l'arborescence des fichiers du serveur ;
- l'interface d'installation ne valide pas correctement des données entrées. Cela permet de réaliser de l'injection de code indirecte qui, dans certaines circonstances, peut être persistente.
Solution
La version phpMyAdmin 3.4.6 corrige ces vulnérabilités.
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité phpMyAdmin PMASA-2011-15 du 17 octobre 2011 : http://www.phpmyadmin.net/home_page/security/PMASA-2011-15.php
- Bulletin de sécurité phpMyAdmin PMASA-2011-16 du 17 octobre 2011 : http://www.phpmyadmin.net/home_page/security/PMASA-2011-16.php
- Référence CVE CVE-2011-3646 https://www.cve.org/CVERecord?id=CVE-2011-3646
- Référence CVE CVE-2011-4064 https://www.cve.org/CVERecord?id=CVE-2011-4064
