Долгосрочная поддержка Debian / Информация о безопасности LTS / 2016 / Информация о безопасности -- DLA-406-1 phpmyadmin

Рекомендация Debian по безопасности

DLA-406-1 phpmyadmin -- обновление безопасности LTS

Дата сообщения:

30.01.2016

Затронутые пакеты:

phpmyadmin

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-2039, CVE-2016-2041.

Более подробная информация:

В коде CSRF-аутентификации phpMyAdmin было обнаружено несколько уязвимостей.

• CVE-2016-2039

  Токен XSRF/CSRF создаётся при помощи слабого алгоритма, используя функции, которые не возвращают криптографически безопасных значений.

• CVE-2016-2041

  Сравнение параметра токена XSRF/CSRF со значением, сохранённым в сессии, уязвимо к атакам по таймингу. Более того, сравнение можно обойти в случае, если токен XSRF/CSRF совпадает с определённым шаблоном.