Säkerhetsbulletin från Debian
DSA-880-1 phpmyadmin -- flera sårbarheter
- Rapporterat den:
- 2005-11-02
- Berörda paket:
- phpmyadmin
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 328501, Fel 335306, Fel 335513.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 15169.
I Mitres CVE-förteckning: CVE-2005-2869, CVE-2005-3300, CVE-2005-3301. - Ytterligare information:
-
Flera serveröverskridande skriptproblem har upptäckts i phpmyadmin, en uppsättning PHP-skript för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CAN-2005-2869
Andreas Kerber och Michal Cihar upptäckte flera serveröverskridande skriptsårbarheter i felsidan och i den kakbaserade inloggningen.
- CVE-2005-3300
Stefan Esser upptäckte att säkerhetskontroller saknade i grab_globals.php, vilket gjorde det möjligt för en angripare att lura phpmyadmin att inkludera en godtycklig lokal fil.
- CVE-2005-3301
Tobias Klein upptäckte flera serveröverskridande skriptproblem vilka gjorde det möjligt för angripare att injicera godtycklig HTML eller klientbaserade skript.
Versionen i den gamla stabila utgåvan (Woody) har troligtvis sina egna problem och kan inte rättas på ett enkelt sätt utan en omfattande genomgång och rättning. Det enklaste är att uppgradera den från Woody till Sarge.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 2.6.2-3sarge1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.6.4-pl3-1.
Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.
- CAN-2005-2869
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.