Рекомендация Debian по безопасности

DSA-3627-1 phpmyadmin -- обновление безопасности

Дата сообщения:
24.07.2016
Затронутые пакеты:
phpmyadmin
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-1927, CVE-2016-2039, CVE-2016-2040, CVE-2016-2041, CVE-2016-2560, CVE-2016-2561, CVE-2016-5099, CVE-2016-5701, CVE-2016-5705, CVE-2016-5706, CVE-2016-5731, CVE-2016-5733, CVE-2016-5739.
Более подробная информация:

В phpMyAdmin, веб-интерфейсе для администрирования MySQL, было обнаружено несколько уязвимостей.

  • CVE-2016-1927

    Функция suggestPassword использует небезопасный генератор случайных чисел, что облегчает удалённым злоумышленникам подбор порождённых паролей через перебор.

  • CVE-2016-2039

    Значения токена CSRF порождаются с помощью небезопасного генератора случайных чисел, что позволяет удалённым злоумышленникам обходить ограничения доступа путём предсказания значения.

  • CVE-2016-2040

    Многочисленные случаи межсайтового скриптинга (XSS) позволяют удалённым аутентифицированным пользователям внедрять веб-сценарий или код HTML.

  • CVE-2016-2041

    phpMyAdmin не использует алгоритм постоянного времени для сравнения токенов CSRF, что облегчает удалённым злоумышленникам обход ограничений доступа путём измерения разницы во времени.

  • CVE-2016-2560

    Многочисленные случаи межсайтового скриптинга (XSS) позволяют удалённым злоумышленникам внедрять веб-сценарий или код HTML.

  • CVE-2016-2561

    Многочисленные случаи межсайтового скриптинга (XSS) позволяют удалённым злоумышленникам внедрять веб-сценарий или код HTML.

  • CVE-2016-5099

    Многочисленные случаи межсайтового скриптинга (XSS) позволяют удалённым злоумышленникам внедрять веб-сценарий или код HTML.

  • CVE-2016-5701

    В установках, работающих через обычный HTTP, phpMyAdmin позволяет удалённым злоумышленникам выполнять атаки по инъекции BBCode на сессии HTTP с помощью специально сформированных URI.

  • CVE-2016-5705

    Многочисленные случаи межсайтового скриптинга (XSS) позволяют удалённым злоумышленникам внедрять веб-сценарий или код HTML.

  • CVE-2016-5706

    phpMyAdmin позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление ресурсов) с помощью большого массива в параметре сценария.

  • CVE-2016-5731

    Межсайтовый скриптинг (XSS) позволяет удалённым злоумышленникам внедрять веб-сценарий или код HTML.

  • CVE-2016-5733

    Многочисленные случаи межсайтового скриптинга (XSS) позволяют удалённым злоумышленникам внедрять веб-сценарий или код HTML.

  • CVE-2016-5739

    Специально сформированные трансформации могут приводить к утечке информации, которую удалённый злоумышленник может использовать для подделки межсайтовых запросов.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 4:4.2.12-2+deb8u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4:4.6.3-1.

Рекомендуется обновить пакеты phpmyadmin.