Рекомендация Debian по безопасности

DSA-2139-1 phpmyadmin -- несколько уязвимостей

Дата сообщения:
31.12.2010
Затронутые пакеты:
phpmyadmin
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.
Более подробная информация:

В phpMyAdmin, инструменте для администрирования MySQL через веб, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2010-4329

    На странице поиска возможен межсайтовый скриптинг, позволяющий удалённому злоумышленнику вводить произвольный веб-сценарий или код HTML.

  • CVE-2010-4480

    На странице ошибок возможен межсайтовый скриптинг, позволяющий удалённому злоумышленнику вводить произвольный веб-сценарий или код HTML.

  • CVE-2010-4481

    Отображение PHP-функции phpinfo() доступно всем пользователям, но только в том случае, если эта функциональность включена (по умолчанию она выключена). Это может приводить к утечке некоторой информации о системе.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 2.11.8.1-5+lenny7.

В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.3.7-3.

Рекомендуется обновить пакет phpmyadmin.

Дополнительную информацию о рекомендация Debian по безопасности, том, как применять эти обновления, а также ответы на часто задаваемые вопросы можно найти по адресу: https://www.debian.org/security/