Vulnérabilité de phpPgAdmin

Gestion du document

Référence	CERTA-2008-AVI-613
Titre	Vulnérabilité de phpPgAdmin
Date de la première version	29 décembre 2008
Date de la dernière version	29 décembre 2008
Source(s)	CVE-2008-5587
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité.

Systèmes affectés

pgpPgAdmin, version 4.2.1 et versions antérieures.

Résumé

Une vulnérabilité de phpPgAdmin permet à un utilisateur malveillant de contourner la politique de sécurité.

Description

phpPgAdmin est une interface web d'administration de bases de données PostgreSQL.

La validation des données entrées par l'utilisateur est insuffisante. Cette vulnérabilité permet à un utilisateur malveillant de lire des fichiers et d'exécuter des scripts locaux avec les droits du processus du serveur web.

Solution

La version 4.2.2 résoud le problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site de téléchargement du projet phpPgAdmin :
```
http://phpPgAdmin.sourceforge.net
```
Bulletin de sécurité Debian DSA 1693 du 27 décembre 2008 :
```
http://www.debian.org/security/2008/dsa-1693
```

Bulletin de sécurité Fedora FEDORA-2008-11576 du 21 décembre 2008 :

https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01109.html

Bulletin de sécurité Fedora FEDORA-2008-11602 du 21 décembre 2008 :

https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01025.html

Référence CVE CVE-2008-5587 :

https://www.cve.org/CVERecord?id=CVE-2008-5587

Avis du CERT-FR

Objet: Vulnérabilité de phpPgAdmin