Рекомендация Debian по безопасности

DSA-2333-1 phpldapadmin -- несколько уязвимостей

Дата сообщения:
31.10.2011
Затронутые пакеты:
phpldapadmin
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 646754.
В каталоге Mitre CVE: CVE-2011-4075, CVE-2011-4074.
Более подробная информация:

В phpLDAPadmin, веб-интерфейсе для администрирования LDAP-серверов, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2011-4074

    Входные данные, добавляемые к URL в cmd.php (когда cmd имеет значение _debug), очищаются неправильно до их возврата пользователю. Это может использоваться для выполнения произвольного кода HTML или сценария в браузере пользователя в контексте подверженного уязвимости сайта.

  • CVE-2011-4075

    Входные данные, передаваемые параметру orderby в cmd.php (когда cmd имеет значение query_engine, query имеет значение none, а search имеет значение, например, 1), неправильно очищаются в lib/functions.php до их использования в вызове функции create_function(). Это может использоваться для введения и выполнения произвольного кода на языке PHP.

В предыдущем стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.1.0.5-6+lenny2.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.2.0.5-2+squeeze1.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.2.0.5-2.1.

Рекомендуется обновить пакеты phpldapadmin.