Debians sikkerhedsbulletin
DSA-880-1 phpmyadmin -- flere sårbarheder
- Rapporteret den:
- 2. nov 2005
- Berørte pakker:
- phpmyadmin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 328501, Fejl 335306, Fejl 335513.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 15169.
I Mitres CVE-ordbog: CVE-2005-2869, CVE-2005-3300, CVE-2005-3301. - Yderligere oplysninger:
-
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting), er opdaget i phpmyadmin, der er en samling PHP-skripter til administrering af MySQL over WWW. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CAN-2005-2869
Andreas Kerber og Michal Cihar har opdaget flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder på fejlsiden og i cookie-login'en.
- CVE-2005-3300
Stefan Esser har opdaget manglende sikkerhedskontroller i grab_globals.php, der kunne gøre det muligt for en angriber at få phpmyadmin til at medtage en vilkårlig lokal fil.
- CVE-2005-3301
Tobias Klein har opdaget flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, hvilket kunne gøre det muligt for angribere at indsprøjte vilkårlig HTML-kode eller klientside-skripter.
Versionen i den gamle stabile distribution (woody) har formentlig sine egne fejl, og er ikke nem at rette uden en komplet audit- og rettelsesseance. Den nemmeste måde er at opgradere fra woody til sarge.
I den stabile distribution (sarge) er disse problemer rettet i version 2.6.2-3sarge1.
I den ustabile distribution (sid) er disse problemer rettet i version 2.6.4-pl3-1.
Vi anbefaler at du opgraderer din phpmyadmin-pakke.
- CAN-2005-2869
- Rettet i:
-
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.