SYNTHÈSE DE LA VULNÉRABILITÉ

Trois vulnérabilités de phpMyAdmin permettent à un attaquant de
manipuler des fichiers ou des données.

Gravité : 2/4

Conséquences : création/modification de données

Provenance : client intranet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 3

Date création : 13/01/2010

PRODUITS CONCERNÉS

– Mandriva Corporate
– OpenSUSE
– SUSE Linux Enterprise Server
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le serveur phpMyAdmin permet d’administrer une base de données
MySQL via un navigateur web. Il comporte trois vulnérabilités.

Les données ne sont pas correctement désérialisées, ce qui peut
permettre à un attaquant de les modifier. [grav:2/4 ; BID-37861,
CVE-2009-4605]

Les échecs de création de répertoire temporaire ne sont pas gérés
dans libraries/File.class.php. [grav:1/4 ; CVE-2008-7251]

Le nom des fichiers temporaires utilisés dans
libraries/File.class.php est prédictible. [grav:2/4 ; CVE-2008-7252]

CARACTÉRISTIQUES

Références : BID-37826, BID-37861, CVE-2008-7251, CVE-2008-7252,
CVE-2009-4605, MDVSA-2010:018, SUSE-SR:2010:001, VIGILANCE-VUL-9338

http://vigilance.fr/vulnerabilite/phpMyAdmin-multiples-vulnerabilites-9338