Säkerhetsbulletin från Debian
DSA-2097-1 phpmyadmin -- otillräcklig städning av indata
- Rapporterat den:
- 2010-08-29
- Berörda paket:
- phpmyadmin
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2010-3055, CVE-2010-3056.
- Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i phpMyAdmin, ett verktyg för administrering av MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2010-3055
Det skript som skapar en konfiguration städar inte den fil den skapar, vilket tillåter angripare utifrån att exekvera godtycklig PHP-kod med hjälp av en specialskriven POST-fråga. I Debian skyddas som standard detta verktyg genom HTTP Basic-autentisering i Apache.
- CVE-2010-3056
Olika serveröverskridande skriptningsproblem har upptäckts som tillåter en angripare utifrån att injicera godtyckliga webbskript eller HTML.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 2.11.8.1-5+lenny5.
För testningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 3.3.5.1-1.
Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.
- CVE-2010-3055
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.dsc
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.