Debian セキュリティ勧告

DSA-2139-1 phpmyadmin -- 複数の脆弱性

報告日時:
2010-12-31
影響を受けるパッケージ:
phpmyadmin
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.
詳細:

MySQL をウェブ経由で管理するツール phpMyAdmin に、複数の問 題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

  • CVE-2010-4329

    サーチ時にクロスサイトスクリプティング攻撃が可能で、リモ ートの攻撃者から任意のウェブスクリプトや HTML を挿入可能 です。

  • CVE-2010-4480

    エラー時にクロスサイトスクリプティング攻撃が可能で、リモ ートの攻撃者から任意のウェブスクリプトや HTML を挿入可能 です。

  • CVE-2010-4481

    PHP の phpinfo() 関数表示が誰からも可能になっているためホ ストシステムからの情報漏洩の可能性があります。但し、この 機能は通常は無効化されています。

安定版 (stable) ディストリビューション (lenny) では、これら の問題はバージョン 2.11.8.1-5+lenny7 で修正されています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビュ ーションでは、これらの問題はバージョン 3.3.7-3 で修正されて います。

直ぐに phpmyadmin パッケージをアップグレードすることを勧め ます。

Debian Security Advisories に関する説明、これらの更新をシ ステムに適用する方法、FAQ などは https://www.debian.org/security/ を参照ください。