Le 15 août 2010 20:26, JC <[email protected]> a écrit :

>
> Néanmoins et si j'ai bien compris ce que je viens de lire, cette faille de
> phpMyAdmin a été corrigé au mois d'avril de cette année par Debian.
> Donc le serveur n'était pas vraiment ce que l'on appelle à jour, non ?
>
>
Effectivement, ceci a été corrigé le 17 avril ; voir les CVE-2008-7251,
CVE-2008-7252 et CVE-2009-4605.
Plus généralement, je m'interroge sur la nécessité d'avoir un phpmyadmin
accessible de l'extérieur. Une application à ce point sensible devrait au
pire être protégée par de solides ACLs. Les mises à jours de sécurité
proposées par debian ne suffisent pas. Les 0 day d'apache ou phpmyadmin sont
loin d'être rares.

Répondre à