Debians sikkerhedsbulletin

DSA-1641-1 phpmyadmin -- flere sårbarheder

Rapporteret den:

20. sep 2008

Berørte pakker:

phpmyadmin

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2008-3197, CVE-2008-3456, CVE-2008-3457, CVE-2008-4096.

Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i phpMyAdmin, et værktøj til administrering af MySQL-databaser over web. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

CVE-2008-4096
Fjernautentificerede brugere kunne udføre vilkårlig kode på værtsmaskinen, der kører phpMyAdmin, ved at manipulere med et skriptparameter.
CVE-2008-3457
Udførelse af skripter på tværs af websteder (cross site scripting) gennem opsætningsskriptet var muligt under sjældne omstændigheder.
CVE-2008-3456
Der er tilføjet beskyttelse mod at fjerne websteder indlæser phpMyAdmin i et frameset.
CVE-2008-3197
Forespørgselsforfalskning på tværs af webservere (cross site request forgery) gjorde det muligt for fjernangribere at oprette en ny database, men ikke at udføre nogen andre handlinger på den.

I den stabile distribution (etch), er disse problemer rettet i version 4:2.9.1.1-8.

I den ustabile distribution (sid), er disse problemer rettet i version 4:2.11.8.1-2.

Vi anbefaler at du opgraderer din phpmyadmin-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.dsc; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.diff.gz; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.