Debian Long Term Support / LTS Security Information / 2016 / Sikkerhedsoplysninger -- DLA-406-1 phpmyadmin

Debians sikkerhedsbulletin

DLA-406-1 phpmyadmin -- LTS-sikkerhedsopdatering

Rapporteret den:

30. jan 2016

Berørte pakker:

phpmyadmin

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-2039, CVE-2016-2041.

Yderligere oplysninger:

Flere fejl blev opdaget i CSRF-autentificeringskoden i phpMyAdmin.

• CVE-2016-2039

  XSRF-/CSRF-tokenet genereres med en svag algoritme, med anvendelse af funktioner, der ikke leverer kryptografisk sikre værdier.

• CVE-2016-2041

  Sammenligningen af XSRF-/CSRF-tokenparameteret med værdien opbevaret i session er sårbar over for timingangreb. Desudne kunne sammenligningen omgås hvis XSRF-/CSRF-tokenet svarer til et bestemt mønster.