Vulnérabilités dans phpMyAdmin

Gestion du document

Référence	CERTA-2011-AVI-572
Titre	Vulnérabilités dans phpMyAdmin
Date de la première version	18 octobre 2011
Date de la dernière version	18 octobre 2011
Source(s)	Bulletins de sécurité phpMyAdmin PMASA-2011-15 et 16 du 17 octobre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Atteinte à la confidentialité des données ;
injection de code indirecte à distance.

Systèmes affectés

phpMyAdmin 3.4.x.

Résumé

Des vulnérabilités dans phpMyAdmin permettent à un utilisateur malveillant de lire des données sensibles ou de réaliser de l'injection de code indirecte.

Description

Deux vulnérabilités de phpMyAdmin ont été corrigées :

dans des configurations très particulières, un message d'erreur peut divulguer des informations sur l'arborescence des fichiers du serveur ;
l'interface d'installation ne valide pas correctement des données entrées. Cela permet de réaliser de l'injection de code indirecte qui, dans certaines circonstances, peut être persistente.

Solution

La version phpMyAdmin 3.4.6 corrige ces vulnérabilités.

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité phpMyAdmin PMASA-2011-15 du 17 octobre 2011 :
```
http://www.phpmyadmin.net/home_page/security/PMASA-2011-15.php
```
Bulletin de sécurité phpMyAdmin PMASA-2011-16 du 17 octobre 2011 :
```
http://www.phpmyadmin.net/home_page/security/PMASA-2011-16.php
```

Référence CVE CVE-2011-3646 :

https://www.cve.org/CVERecord?id=CVE-2011-3646

Référence CVE CVE-2011-4064 :

https://www.cve.org/CVERecord?id=CVE-2011-4064

Avis du CERT-FR

Objet: Vulnérabilités dans phpMyAdmin