Vulnérabilité dans phpMyAdmin

Gestion du document

Référence	CERTA-2008-AVI-464-001
Titre	Vulnérabilité dans phpMyAdmin
Date de la première version	16 septembre 2008
Date de la dernière version	30 septembre 2008
Source(s)	Bulletin de sécurité phpMyAdmin PMASA-2008-7 du 15 septembre 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

phpMyAdmin 2.x.

Résumé

Une vulnérabilité dans phpMyAdmin permet à un utilisateur distant d'exécuter du code arbitraire.

Description

Une vulnérabilité dans le fichier server_databases.php permet à un utilisateur distant, précédemment authentifié, d'exécuter du code arbitraire de type shell.

Cette vulnérabilité ne peut être exploitée que si la configuration du serveur PHP autorise les commandes de type exec.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs. (cf. section Documentation).

Documentation

Bulletin de sécurité FEDORA-2008-8269

https://www.redhat.com/archives/fedora-package-announce/2008-september/msg01137.html

Bulletin de sécurité FEDORA-2008-8286

https://www.redhat.com/archives/fedora-package-announce/2008-september/msg01155.html

Bulletin de sécurité FEDORA-2008-8335

https://www.redhat.com/archives/fedora-package-announce/2008-september/msg01228.html

Bulletin de sécurité FEDORA-2008-8370

https://www.redhat.com/archives/fedora-package-announce/2008-september/msg01290.html

Bulletin de sécurité phpMyAdmin PMASA-2008-7 du 15 septembre 2008 :
```
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-7
```

Référence CVE CVE-2008-4096 :

https://www.cve.org/CVERecord?id=CVE-2008-4096

Gestion détaillée du document

le 16 septembre 2008: version initiale.

le 19 septembre 2008: ajout de la référence CVE.

le 30 septembre 2008: Ajout Fedora.

Avis du CERT-FR

Objet: Vulnérabilité dans phpMyAdmin