Risque
- Exécution de code arbitraire à distance ;
- atteinte à l'intégrité des données ;
- atteinte à la confidentialité des données.
Systèmes affectés
- phpMyAdmin versions 3.3.10.1 et antérieures ;
- phpMyAdmin versions 3.4.3.0 et antérieures.
Résumé
Plusieurs vulnérabilités dans phpMyAdmin permettent à un utilisateur distant d'exécuter du code arbitraire, de porter atteinte à l'intégrité ou à la confidentialité de certaines données.
Description
Plusieurs vulnérabilités sont présentes dans phpMyAdmin :
- la première permet de modifier le contenu de certaines variables de session et ce faisant d'exécuter du code arbitraire ;
- la seconde concerne un manque de contrôle sur certaines URL passées au serveur et permet d'exécuter du code arbitraire à distance ;
- la troisième vulnérabilité relative à un manque de contrôle des expressions régulières permet de conduire des attaques de type traversée de répertoire ;
- la dernière concerne également un problème de traversée de répertoire lié à la gestion de certains types MIME.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité phpMyAdmin PMASA-2011-5 du 02 juillet 2011 :
http://www.phpmyadmin.net/home_page/security/PMASA-2011-5.php
- Bulletins de sécurité phpMyAdmin PMASA-2011-6 du 02 juillet 2011 :
http://www.phpmyadmin.net/home_page/security/PMASA-2011-6.php
- Bulletins de sécurité phpMyAdmin PMASA-2011-7 du 02 juillet 2011 :
http://www.phpmyadmin.net/home_page/security/PMASA-2011-7.php
- Bulletins de sécurité phpMyAdmin PMASA-2011-8 du 02 juillet 2011 :
http://www.phpmyadmin.net/home_page/security/PMASA-2011-8.php
- Référence CVE CVE-2011-2505 :
https://www.cve.org/CVERecord?id=CVE-2011-2505
- Référence CVE CVE-2011-2506 :
https://www.cve.org/CVERecord?id=CVE-2011-2506
- Référence CVE CVE-2011-2507 :
https://www.cve.org/CVERecord?id=CVE-2011-2507
- Référence CVE CVE-2011-2508 :
https://www.cve.org/CVERecord?id=CVE-2011-2508