Vulnérabilités dans phpMyAdmin
le 7 novembre 2012
Deux vulnérabilités ont été corrigées dans phpMyAdmin. La première concerne une injection de code indirecte à distance (XSS). La deuxième permet d'injecter du code dans les communications avec le site « phpmyadmin.net » car elles ne sont pas chiffrées (une attaque par homme du milieu est nécessaire).
Il est recommandé de mettre à jour phpMyAdmin vers une version >= à 3.5.3.
Risque
- Atteinte à l'intégrité des données ;
- injection de code indirecte à distance.
Systèmes affectés
Versions antérieures à phpMyAdmin 3.5.3
Documentation
- Bulletin de sécurité phpMyAdmin PMASA-2012-6 du 12 octobre 2012 : www.phpmyadmin.net/home_page/security/PMASA-2012-6.php
- Bulletin de sécurité phpMyAdmin PMASA-2012-7 du 12 octobre 2012 : www.phpmyadmin.net/home_page/security/PMASA-2012-7.php
- Référence CVE CVE-2012-5339 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2012-5368 : cve.mitre.org/cgi-bin/cvename.cgi
- Bulletin de sécurité du CERTA : www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-612
