S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 août 2010
N° CERTA-2010-AVI-397
Affaire suivie par: CERT-FR
le 23 août 2010

Avis du CERT-FR

Objet: Vulnérabilités dans phpMyAdmin

Gestion du document

Référence CERTA-2010-AVI-397
Titre Vulnérabilités dans phpMyAdmin
Date de la première version 23 août 2010
Date de la dernière version 23 août 2010
Source(s) Notes de sécurité phpMyAdmin du 20 août 2010
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • injection de code indirecte à distance.

Systèmes affectés

  • Branche 2.x de phpMyAdmin : versions inférieures à 2.11.10.1 ;
  • branche 3.x de phpMyAdmin : versions inférieures à 3.3.5.1 .

Résumé

Des vulnérabilités dans phpMyAdmin permettent notamment à un attaquant d'inclure du code PHP dans un fichier de configuration.

Description

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin :

  • une vulnérabilité (CVE-2010-3055) permet à une personne malveillante d'insérer du code PHP dans un fichier de configuration, via le script d'installation. L'exploitation de cette faille ne peut réussir que si les bonnes pratiques d'installation de phpMyAdmin n'ont pas été suivies, et que les scripts d'installation n'ont pas été supprimés une fois celle-ci terminée. Cette faille ne touche que les versions inférieures à 2.11.10.1 ;
  • les versions inférieures à 3.3.5.1 pour la branche 3.x et inférieures à 2.11.10.1 pour la branche 2.x sont vulnérables à une attaque de type injection de code indirecte à distance sur de nombreuses pages (CVE-2010-3056).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 23 août 2010
    version initiale.