Vigil@nce - phpMyAdmin : obtention d’information via BREACH
mars 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer l’attaque BREACH sur phpMyAdmin, afin
d’obtenir un cookie permettant d’effectuer des opérations sur le
service.
Produits concernés : phpMyAdmin
Gravité : 1/4
Date création : 05/03/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit phpMyAdmin dispose d’un service web avec TLS.
Cependant, un attaquant peut utiliser une attaque TLS BREACH
(VIGILANCE-VUL-13198) sur les messages de langue, afin de deviner
le cookie de session CSRF.
Un attaquant peut donc employer l’attaque BREACH sur phpMyAdmin,
afin d’obtenir un cookie permettant d’effectuer des opérations
sur le service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/phpMyAdmin-obtention-d-information-via-BREACH-16316