Säkerhetsbulletin från Debian

DSA-3627-1 phpmyadmin -- säkerhetsuppdatering

Rapporterat den:
2016-07-24
Berörda paket:
phpmyadmin
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-1927, CVE-2016-2039, CVE-2016-2040, CVE-2016-2041, CVE-2016-2560, CVE-2016-2561, CVE-2016-5099, CVE-2016-5701, CVE-2016-5705, CVE-2016-5706, CVE-2016-5731, CVE-2016-5733, CVE-2016-5739.
Ytterligare information:

Flera sårbarheter har rättats i phpMyAdmin, det webbaserade administrationsgränssnittet för MySQL.

  • CVE-2016-1927

    Funktionen suggestPassword beror på en icke-säker slumptalsgenerator som gör det lättare för fjärrangripare att gissa genererade lösenord via en brute-force-metod.

  • CVE-2016-2039

    CSRF-symbolvärden genererades genom en icke-säker slumptalsgenerator som tillåter fjärrangripare att förbigå tänkta åtkomstbegränsningar genom att förutse ett värde.

  • CVE-2016-2040

    Flera sajtöverskridande skriptsårbarheter (XSS) tillåter fjärrautentiserade användare att injicera godtyckliga webbskript eller HTML.

  • CVE-2016-2041

    phpMyAdmin använder inte en algoritm med konstant tid för att jämföra CSRF-symbolvärden, vilket gör det enklare för fjärrangripare att förbigå tänkta åtkomstbegränsningar genom att mäta tidsskillnader.

  • CVE-2016-2560

    Flera sajtöverskridande skriptsårbarheter (XSS) tillåter fjärrangripare att injicera godryckliga webbskript eller HTML.

  • CVE-2016-2561

    Flera sajtöverskridande skriptsårbarheter (XSS) tillåter fjärrangripare att injicera godryckliga webbskript eller HTML.

  • CVE-2016-5099

    Flera sajtöverskridande skriptsårbarheter (XSS) tillåter fjärrangripare att injicera godryckliga webbskript eller HTML.

  • CVE-2016-5701

    För installationer som kör på ren HTTP, tillåter phpMyAdmin fjärrangripare att utföra BBCode-injiceringsangrepp mot HTTP-sessioner via en skapad URI.

  • CVE-2016-5705

    Flera sajtöverskridande skriptsårbarheter (XSS) tillåter fjärrangripare att injicera godryckliga webbskript eller HTML.

  • CVE-2016-5706

    phpMyAdmin tillåter fjärrangripare att orsaka en överbelastning (resurskonsumption) via en stor array i skripts-parametern.

  • CVE-2016-5731

    En sajtöverskridande skriptsårbarhet (XSS) tillåter fjärrangripare att injicera godryckliga webbskript eller HTML.

  • CVE-2016-5733

    Flera sajtöverskridande skriptsårbarheter (XSS) tillåter fjärrangripare att injicera godryckliga webbskript eller HTML.

  • CVE-2016-5739

    En speciellt skapad Transformation kunde läcka information som en fjärrangripare kunde använda för att utföra serveröverskridande förfalskning av förfrågningar.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 4:4.2.12-2+deb8u2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4:4.6.3-1.

Vi rekommenderar att ni uppgraderar era phpmyadmin-paket.