Vigil@nce - phpMyAdmin : multiples vulnérabilités
janvier 2017 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de
phpMyAdmin.
Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap,
phpMyAdmin, Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Date création : 25/11/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans phpMyAdmin.
Un attaquant peut tromper l’utilisateur, afin de le rediriger vers
un site malveillant. [grav:1/4 ; CVE-2016-4412, PMASA-2016-57]
Un attaquant peut contourner les mesures de sécurité via
blowfish_secret, afin d’obtenir des informations sensibles.
[grav:2/4 ; CVE-2016-9847, PMASA-2016-58]
Un attaquant peut contourner les mesures de sécurité via
HttpOnly Cookies, afin d’obtenir des informations sensibles.
[grav:1/4 ; CVE-2016-9848, PMASA-2016-59]
Un attaquant peut contourner les mesures de sécurité via Null
Byte, afin d’élever ses privilèges. [grav:2/4 ; CVE-2016-9849,
PMASA-2016-60]
Un attaquant peut contourner les mesures de sécurité via
Allow/deny Rules, afin d’élever ses privilèges. [grav:2/4 ;
CVE-2016-9850, PMASA-2016-61]
Un attaquant peut contourner les mesures de sécurité via Logout
Timeout, afin d’élever ses privilèges. [grav:1/4 ; CVE-2016-9851,
PMASA-2016-62]
Un attaquant peut contourner les mesures de sécurité via Full
Path Disclosure, afin d’obtenir des informations sensibles.
[grav:1/4 ; CVE-2016-9852, CVE-2016-9853, CVE-2016-9854,
CVE-2016-9855, PMASA-2016-63]
Un attaquant peut provoquer un Cross Site Scripting, afin
d’exécuter du code JavaScript dans le contexte du site web.
[grav:2/4 ; CVE-2016-9856, CVE-2016-9857, PMASA-2016-64]
Un attaquant peut provoquer une erreur fatale, afin de mener un
déni de service. [grav:2/4 ; CVE-2016-9858, CVE-2016-9859,
CVE-2016-9860, PMASA-2016-65]
Un attaquant peut tromper l’utilisateur, afin de le rediriger vers
un site malveillant. [grav:1/4 ; CVE-2016-9861, PMASA-2016-66]
Un attaquant peut utiliser une vulnérabilité via BBCode, afin
d’exécuter du code. [grav:2/4 ; CVE-2016-9862, PMASA-2016-67]
Un attaquant peut provoquer une erreur fatale via Table
Partitioning, afin de mener un déni de service. [grav:2/4 ;
CVE-2016-9863, PMASA-2016-68]
Un attaquant peut provoquer une injection SQL, afin de lire ou
modifier des données. [grav:2/4 ; CVE-2016-9864, PMASA-2016-69]
Un attaquant peut utiliser une vulnérabilité via
PMA_safeUnserialize, afin d’exécuter du code. [grav:2/4 ;
CVE-2016-9865, PMASA-2016-70]
Un attaquant peut provoquer un Cross Site Request Forgery, afin de
forcer la victime à effectuer des opérations. [grav:2/4 ;
CVE-2016-9866, PMASA-2016-71]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/phpMyAdmin-multiples-vulnerabilites-21206