Debians sikkerhedsbulletin

DLA-406-1 phpmyadmin -- LTS-sikkerhedsopdatering

Rapporteret den:
30. jan 2016
Berørte pakker:
phpmyadmin
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-2039, CVE-2016-2041.
Yderligere oplysninger:

Flere fejl blev opdaget i CSRF-autentificeringskoden i phpMyAdmin.

  • CVE-2016-2039

    XSRF-/CSRF-tokenet genereres med en svag algoritme, med anvendelse af funktioner, der ikke leverer kryptografisk sikre værdier.

  • CVE-2016-2041

    Sammenligningen af XSRF-/CSRF-tokenparameteret med værdien opbevaret i session er sårbar over for timingangreb. Desudne kunne sammenligningen omgås hvis XSRF-/CSRF-tokenet svarer til et bestemt mønster.