Exécution de code à distance sur phpMyAdmin

Publié le 24 mars 2009 sur phpMyAdmin, un bulletin de sécurité annonce une faille critique dans les versions :

• 2.11.x inférieure à 2.11.9.5
• 3.x inférieure à 3.1.3.1

Cette faille a été découverte par Greg Ose et Adrian "pagvac" pastor de GNUCITIZEN a mis en ligne ce mardi un outil d'exploitation. PhpMyAdmin est utilisé partout dans le monde et est très populaire. Autant dire que la publication de cet exploit est une menace sérieuse pour la communauté d'utilisateurs.

Techniquement, cette vulnérabilité permet d'exécuter du code à distance en utilisant des URLs du type :

• http://www.victime.com/pma/config/config.inc.php?c=ls+-l+/ # Liste des répertoires présents à la racine
• http://www.victime.com/pma/config/config.inc.php?c=cat+/etc/passwd+/ # Affichage du contenu de /etc/passwd

Le problème vient d'abord du fait que les scripts d'installation sont toujours présents, on peut donc soumettre une nouvelle configuration. Enfin à cause d'une faible vérification du paramètre d'entrée "configuration", il est possible de passer du php qui sera sauvegardé dans le fichier de configuration /config/config.inc.php.

Le manque de filtrage sur les paramètres d'entrées est le problème numéro 1 des web applications, tous les problèmes les plus connus y trouvent leurs origines :

• SQL injection
• Cross site scripting
• Inclusion de fichier
• Exécution de commande
• ...