Säkerhetsbulletin från Debian

DSA-2097-1 phpmyadmin -- otillräcklig städning av indata

Rapporterat den:
2010-08-29
Berörda paket:
phpmyadmin
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2010-3055, CVE-2010-3056.
Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i phpMyAdmin, ett verktyg för administrering av MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2010-3055

    Det skript som skapar en konfiguration städar inte den fil den skapar, vilket tillåter angripare utifrån att exekvera godtycklig PHP-kod med hjälp av en specialskriven POST-fråga. I Debian skyddas som standard detta verktyg genom HTTP Basic-autentisering i Apache.

  • CVE-2010-3056

    Olika serveröverskridande skriptningsproblem har upptäckts som tillåter en angripare utifrån att injicera godtyckliga webbskript eller HTML.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 2.11.8.1-5+lenny5.

För testningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 3.3.5.1-1.

Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.