Debians sikkerhedsbulletin
DLA-406-1 phpmyadmin -- LTS-sikkerhedsopdatering
- Rapporteret den:
- 30. jan 2016
- Berørte pakker:
- phpmyadmin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-2039, CVE-2016-2041.
- Yderligere oplysninger:
-
Flere fejl blev opdaget i CSRF-autentificeringskoden i phpMyAdmin.
- CVE-2016-2039
XSRF-/CSRF-tokenet genereres med en svag algoritme, med anvendelse af funktioner, der ikke leverer kryptografisk sikre værdier.
- CVE-2016-2041
Sammenligningen af XSRF-/CSRF-tokenparameteret med værdien opbevaret i session er sårbar over for timingangreb. Desudne kunne sammenligningen omgås hvis XSRF-/CSRF-tokenet svarer til et bestemt mønster.
- CVE-2016-2039