Mehrere Verwundbarkeiten durch Site-übergreifendes Skripting wurden in phpmyadmin entdeckt, einem Satz von PHP-Skripten zur Administration von MySQL über das WWW. Das »Common Vulnerabilities and Exposures project« legt die folgenden Probleme fest:
Andreas Kerber und Michal Cihar entdeckten mehrere Verwundbarkeiten durch Site-übergreifendes Skripting in der Fehlerseite und dem Cookie-Login.
Stefan Esser entdeckte fehlende Sicherheitsüberprüfungen in der Datei grab_globals.php, die es einem Angreifer ermöglichen, phpmyadmin dazu zu veranlassen, eine beliebige lokale Datei einzubinden.
Tobias Klein entdeckte mehrere Verwundbarkeiten durch Site-übergreifendes Skripting, die es Angreifern ermöglichen, beliebigen HTML-Code oder Client-seitige Skripte einzuschleusen.
Die Version in der alten Stable-Distribution (Woody) hat wahrscheinlich ihre eigenen Fehler und ist nicht einfach ohne eine vollständige Audit- und Patchsitzung zu korrigieren. Der leichtere Weg ist, eine Aktualisierung von Woody auf Sarge durchzuführen.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 2.6.2-3sarge1 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.6.4-pl3-1 behoben.
Wir empfehlen Ihnen, Ihr phpmyadmin-Paket zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.