Plusieurs vulnérabilités ont été découvertes dans libphp-adodb, la couche d'abstraction PHP pour les bases de données « adodb ». Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants
Andreas Sandblad a découvert qu'une mauvaise vérification des entrées constituait une possibilité d'injection de code SQL à distance. Cela permettait à un attaquant distant de compromettre des applications, d'accéder et de modifier des données, ou encore d'exploiter des vulnérabilités de l'implémentation de la base de données sous-jacente. Le mot de passe du superutilisateur MySQL devait être vide pour que la faille puisse être exploitée. Les accès de ce script défaillant sont désormais limités.
Une vulnérabilité dans l'évaluation dynamique de code permettait à des attaquants distants d'exécuter des fonctions PHP arbitraires en utilisant le paramètre « do ».
Andy Staudacher a découvert une vulnérabilité d'injection de code SQL, causée par une mauvaise vérification des entrées. Cela permettait à des attaquants distants d'exécuter des commandes SQL arbitraires.
GulfTech a découvert plusieurs vulnérabilités de script intersites causées par une mauvaise vérification des entrées. Des attaquants pouvaient exploiter ces vulnérabilités pour faire exécuter des scripts arbitraires par le navigateur web d'un utilisateur crédule, ou pour voler un certificat d'authentification stocké dans un « cookie ».
Pour l'ancienne distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.51-1.2.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.52-1sarge1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 4.72-0.1.
Nous vous recommandons de mettre à jour votre paquet libphp-adodb.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.