Debian セキュリティ勧告

DSA-1207-2 phpmyadmin -- 複数の脆弱性

報告日時:
2006-11-09
影響を受けるパッケージ:
phpmyadmin
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 339437, バグ 340438, バグ 362567, バグ 368082, バグ 391090.
Mitre の CVE 辞書: CVE-2006-1678, CVE-2006-2418, CVE-2005-3621, CVE-2005-3665, CVE-2006-5116.
詳細:

phpmyadmin の DSA 1207 での更新により、問題を引き起こしてしまいました。 今回の更新はその問題を修正します。念のため、元の勧告を再掲します。

リモートからの複数の脆弱性が、ウェブ上で MySQL を管理するためのプログラ phpMyAdmin に発見されました。Common Vulnerabilities and Exposures プロジェクトでは以下の問題を特定しています。

  • CVE-2005-3621

    CRLF 挿入脆弱性により、リモートの攻撃者が HTTP レスポンス分割攻撃を引き起こすことが可能です。

  • CVE-2005-3665

    複数のクロスサイトスクリプティング (XSS) 脆弱性により、リモートの攻撃者が (1) HTTP_HOST 変数、または (2) ヘッダ生成を処理するライブラリディレクトリの様々なスクリプト経由で、任意のウェブスクリプトや HTML 文を注入することが可能です。

  • CVE-2006-1678

    複数のクロスサイトスクリプティング (XSS) 脆弱性により、リモートの攻撃者が themes ディレクトリのスクリプト経由で任意のウェブスクリプトや HTML 文を注入することが可能です。

  • CVE-2006-2418

    クロスサイトスクリプティング (XSS) 脆弱性により、リモートの攻撃者が footer.inc.php の db パラメータ経由で任意のウェブスクリプトや HTML 文を注入する可能性があります。

  • CVE-2006-5116

    リモートの攻撃者が、_FILES グローバル変数を通して内部変数を上書きする可能性があります。

安定版ディストリビューション (stable、コードネーム sarge) では、これらの問題はバージョン 2.6.2-3sarge3 で修正されています。

次期安定版ディストリビューション (testing、コードネーム etch) および不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 2.9.0.3-1 で修正されています。

phpmyadmin パッケージのアップグレードをお勧めします。

修正:

Debian GNU/Linux 3.1 (sarge)

ソース:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。

一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。