Debians sikkerhedsbulletin

DSA-1675-1 phpmyadmin -- utilstrækkelig fornuftighedskontrol af inddata

Rapporteret den:
30. nov 2008
Berørte pakker:
phpmyadmin
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2008-4326.
Yderligere oplysninger:

Masako Oono opdagede at phpMyAdmin, en webbaseret administrativ grænseflade til MySQL, på utilstrækkeligvis fornuftighedskontrollerede inddata, hvorved en fjernangriber kunne indsamle følsomme oplysninger gennem udførelse af skripter på tværs af servere, forudsat at brugeren anvendte webbrowseren Internet Explorer.

Denne opdatering retter også en regression der opstod i forbindelse med DSA 1641, der ødelagde skift af sprog og tegnsæt på loginbilledet.

I den stabile distribution (etch), er disse problemer rettet i version 4:2.9.1.1-9.

I den ustabile distribution (sid), er disse problemer rettet i version 4:2.11.8.1-3.

Vi anbefaler at du opgraderer din phpmyadmin-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-9.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-9.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-9_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.