S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 février 2011
N° CERTA-2011-AVI-049
Affaire suivie par: CERT-FR
le 03 février 2011

Avis du CERT-FR

Objet: Vulnérabilité dans PMB

Gestion du document

Référence CERTA-2011-AVI-049
Titre Vulnérabilité dans PMB
Date de la première version 03 février 2011
Date de la dernière version 03 février 2011
Source(s) Site de téléchargement de PMB
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

PMB, versions 3.3 à 3.3.9 et 3.4 à 3.4.3.

Les autres versions ne sont pas maintenues et peuvent être vulnérables.

Résumé

Une vulnérabilité dans le logiciel de gestion de bibliothèque PMB permet à un utilisateur malveillant de porter atteinte à la confidentialité et à l'intégrité des données.

Description

PMB est un logiciel de gestion des bibliothèques.

Une vulnérabilité de type injection SQL est présente dans plusieurs programmes de PMB. Elle permet à un utilisateur malveillant de lire des informations sans droit légitime.

Selon le compte système sous lequel s'exécute le serveur MySQL, l'attaquant peut lire tous les fichiers du système et exécuter n'importe quelle requête dans la base de données.

Cette vulnérabilité est activement exploitée.

Solution

Les versions 3.3.10 et 3.4.4 de PMB remédient à ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 février 2011
    version initiale.