Säkerhetsbulletin från Debian

DSA-1641-1 phpmyadmin -- flera sårbarheter

Rapporterat den:

2008-09-20

Berörda paket:

phpmyadmin

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2008-3197, CVE-2008-3456, CVE-2008-3457, CVE-2008-4096.

Ytterligare information:

Man har upptäckt flera utifrån nåbara sårbarheter i phpMyAdmin, ett verktyg för att administrera MySQL-databaser över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2008-4096
Autentiserade fjärranvändare kunde exekvera godtycklig kod på en värd som körde phpMyAdmin genom att manipulera en skriptparameter.
CVE-2008-3457
Serveröverskridande skriptning var möjligt via inställningsskriptet under ovanliga omständigheter.
CVE-2008-3456
Man har lagt till skydd mot att fjärrwebbplatser läser in phpMyAdmin i ramar.
CVE-2008-3197
Förfalskade serveröverskridande anrop gjorde det möjligt för angripare utifrån att skapa en ny databas, men inte utföra någon annan åtgärd på den.

För den stabila utgåvan (Etch) har dessa problem rättats i version 4:2.9.1.1-8.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4:2.11.8.1-2.

Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.dsc; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.diff.gz; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.