Säkerhetsbulletin från Debian

DSA-1675-1 phpmyadmin -- otillräcklig städning av indata

Rapporterat den:

2008-11-30

Berörda paket:

phpmyadmin

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2008-4326.

Ytterligare information:

Masako Oono upptäckte att phpMyAdmin, ett webbaserat administrationsgränssnitt för MySQL, inte städar indata tillräckligt, vilket tillåter en angripare utifrån att samla in känslig data med hjälp av serveröverskridande skript, förutsatt att användaren använder webbläsaren Internet Explorer.

Denna uppdatering rättar också en regression som introducerades i DSA 1641 och som gjorde att ändring av språk och kodning i inloggningsskärmen slutade fungera.

För den stabila utgåvan (Etch) har dessa problem rättats i version 4:2.9.1.1-9.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4:2.11.8.1-3.

Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-9.dsc; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-9.diff.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-9_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.