Debians sikkerhedsbulletin

DSA-2139-1 phpmyadmin -- flere sårbarheder

Rapporteret den:
31. dec 2010
Berørte pakker:
phpmyadmin
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.
Yderligere oplysninger:

Flere sårbarheder er opdaget i phpMyAdmin, et værktøj til at administrere MySQL via web. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2010-4329

    Udførelse af skripter på tværs af websteder var muligt i search, der gjorde det muligt for en fjernangriber at indsprøjte vilkårligt webskript eller HTML.

  • CVE-2010-4480

    Udførelse af skripter på tværs af websteder var muligt i errors, der gjorde det muligt for en fjernangriber at indsprøjte vilkårligt webskript eller HTML.

  • CVE-2010-4481

    Visning af PHP's phpinfo()-funktion var tilgængelig for alle, men kun hvis funktionaliteten var blevet aktiveret (standard er deaktiveret). Derved kunne der måske lækkes nogle oplysninger om værtssystemet.

I den stabile distribution (lenny), er disse problemer rettet i version 2.11.8.1-5+lenny7.

I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 3.3.7-3.

Vi anbefaler at du opgraderer din phpmyadmin-pakke.

Flere oplysninger om Debian Security Advisories, hvordan man installerer disse opdatering på sit system samt ofte stillede spørgsmål findes på: https://www.debian.org/security/