--
.~.Nicolas Bertolissio
/V\[EMAIL PROTECTED]
// \\
/( )\
^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation=1.5 maintainer=Nicolas Bertolissio
define-tag descriptionPlusieurs vulnérabilités/define-tag
define-tag moreinfo
p
Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un programme
d'administration de MySQL sur la Toile. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivantsnbsp;:
/p
ul
lia href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1325;CVE-2007-1325/a
p
La fonction PMA_ArrayWalkRecursive dans libraries/common.lib.php ne limite
pas la récursion sur les tableaux fournis par les utilisateurs, cela
permet à des attaquants dépendant du contexte de générer un déni de service
(plantage du serveur web) par l'intermédiaire d'un tableau avec de
nombreuses dimensions.
/p
p
Ce problème n'affecte que la distribution stable (emEtch/em).
/p
/li
lia href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1395;CVE-2007-1395/a
p
Une vulnérabilité de liste noire incomplète dans index.php permet à des
attaquants distants de mener des attaques intersites en injectant du HTML
ou du JavaScript arbitraire dans une valeur de paramètre de (1) db ou (2)
table suivie d'une étiquette fermante lt;/SCRIPTgt; en majuscule, ce qui
contourne la protection contre lt;/scriptgt; en minuscules.
/p
p
Ce problème n'affecte que la distribution stable (emEtch/em).
/p
/li
lia href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2245;CVE-2007-2245/a
p
Plusieurs vulnérabilités de script intersite permettent à des attaquants
distants d'injecter du HTML ou un script web quelconque par l'intermédiaire
(1) du paramètre fieldkey de browse_foreigners.php ou (2) de certaines
entrées à la fonction PMA_sanitize.
/p
/li
lia href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6942;CVE-2006-6942/a
p
Plusieurs vulnérabilités de script intersite permettent à des attaquants
distants d'injecter du HTML ou un script web arbitraire par l'intermédiaire
(1) d'un commentaire d'un nom de table, comme exploité ivia/i (a)
db_operations.php, (2) du paramètre db de (b) db_create.php, (3) du
paramètre newname de db_operations.php, des paramètres (4)
query_history_latest, (5) query_history_latest_db, et (6) querydisplay_tab
de (c) querywindow.php, et (7) du paramètre pos de (d) sql.php.
/p
p
Ce problème n'affecte que l'ancienne distribution stable (emSarge/em).
/p
/li
lia href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6944;CVE-2006-6944/a
p
phpMyAdmin permet à des attaquants distants de contourner les règles
d'accès Allow/Deny qui utilisent les adresses IP par l'intermédiaire de
faux en-têtes.
/p
p
Ce problème n'affecte que l'ancienne distribution stable (emSarge/em).
/p
/li
/ul
p
Pour l'ancienne distribution stable (emSarge/em), ces problèmes ont été
corrigés dans la versionnbsp;2.6.2-3sarge5.
/p
p
Pour la distribution stable (emEtch/em), ces problèmes ont été corrigés
dans la versionnbsp;2.9.1.1-4.
/p
p
Pour la distribution instable (emSid/em), ces problèmes ont été corrigés
dans la versionnbsp;2.10.1-1.
/p
p
Nous vous recommandons de mettre à jour vos paquets phpmyadmin.
/p
/define-tag
# ne pas modifier la ligne suivante
#include $(ENGLISHDIR)/security/2007/dsa-1370.data
#use wml::debian::translation-check translation=1.2 maintainer=Nicolas Bertolissio
define-tag descriptionPlusieurs vulnérabilités/define-tag
define-tag moreinfo
p
Plusieurs vulnérabilités ont été découvertes dans phpWiki, un moteur de wiki
écrit en PHP. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivantsnbsp;:
/p
ul
lia href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2024;CVE-2007-2024/a
p
On a découvert que phpWiki de réalisait pas de validation suffisante des
noms de fichiers, cela permet le téléchargement de fichiers sans
restriction.
/p/li
lia href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2025;CVE-2007-2025/a
p
On a découvert que phpWiki de réalisait pas de validation suffisante des
noms de fichiers, cela permet le téléchargement de fichiers sans
restriction.
/p/li
lia href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3193;CVE-2007-3193/a
p
Si PASSWORD_LENGTH_MINIMUM manque avec une valeur non nulle dans la
configuration, phpWiki peut permettre à des attaquants distants de
contourner l'authentification par l'intermédiaire d'un mot de passe vide,
cela fait retourner une valeur vraie à ldap_bind lorsqu'il est utilisé avec
certaines implantations de LDAP.
/p/li
/ul
p
L'ancienne distribution stable (emSarge/em)ne contient pas des paquets
phpwiki.
/p
p
Pour la distribution stable (emEtch/em), ces
