Debian セキュリティ勧告

DSA-1918-1 phpmyadmin -- 複数の脆弱性

報告日時:
2009-10-25
影響を受けるパッケージ:
phpmyadmin
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 552194.
Mitre の CVE 辞書: CVE-2009-3696, CVE-2009-3697.
詳細:

MySQL をウェブインターフェースで管理するツール phpMyAdmin に、リモート から攻撃可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

  • CVE-2009-3696

    クロスサイトスクリプティング攻撃により、リモートの攻撃者が、細工され た MySQL テーブル名をつかって任意のウェブスクリプトや HTML を挿入可能 な欠陥があります。

  • CVE-2009-3697

    PDF スキーマジェネレータ機能に SQL インジェクション脆弱性があり、リモ ートの攻撃者が任意の SQL コマンドを実行可能です。この問題は Debian 4.0 Etch には存在しません。

更に、追加の要塞化がウェブベースの setup.php スクリプトに加えられていま す。添付のウェブサーバ設定はこのスクリプトが保護されていることを保証し ていますが、現場では必ずしもその設定が守られていないことが判明したため です。config.inc.php ファイルは webserver ユーザから書き込めないよう変 更されました。詳細は README.Debian を見て、必要ならば setup.php スクリ プトを有効化してください。

旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は バージョン 2.9.1.1-13 で修正されています。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー ジョン 2.11.8.1-5+lenny3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 3.2.2.1-1 で修正されています。

直ぐに phpmyadmin パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.diff.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13_all.deb

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.dsc
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。