Säkerhetsbulletin från Debian
DSA-1207-2 phpmyadmin -- flera sårbarheter
- Rapporterat den:
- 2006-11-09
- Berörda paket:
- phpmyadmin
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 339437, Fel 340438, Fel 362567, Fel 368082, Fel 391090.
I Mitres CVE-förteckning: CVE-2006-1678, CVE-2006-2418, CVE-2005-3621, CVE-2005-3665, CVE-2006-5116. - Ytterligare information:
-
Uppdateringen av phpmyadmin i DSA 1207 introducerade ett nytt fel. Denna uppdatering rättar detta fel. Texten från originalbulletinen följer nedan:
Flera utifrån nåbara sårbarheter har upptäckts i phpMyAdmin, ett program för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2005-3621
CRLF-injiceringssårbarhet gjorde det möjligt för angripare utifrån att utföra HTTP-svarsdelningsangrepp.
- CVE-2005-3665
Flera serveröverskridande skriptsårbarheter (XSS) gjorde det möjligt för angripare utifrån att injicera godtyckliga webbskript eller HTML-kod via (1) HTTP_HOST-variabeln och (2) diverse skript i bibliotekskatalogen som hanterar generering av huvuden.
- CVE-2006-1678
Flera serveröverskridande skriptproblem (XSS) gjorde det möjligt för angripare utifrån att injicera godtyckliga webbskript eller HTML-kod via skript i themes-katalogen.
- CVE-2006-2418
En serveröverskridande skriptsårbarhet (XSS) gjorde det möjligt för angripare utifrån att injicera godtyckliga webbskript eller HTML-kod via db-parametern i footer.inc.php.
- CVE-2006-5116
En angripare utifrån kunde skriva över interna variabler via den globala variabeln _FILES.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 2.6.2-3sarge3.
För den kommande stabila utgåvan (Etch) och den instabila utgåvan (Sid) har dessa problem rättats i version 2.9.0.3-1.
Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.
- CVE-2005-3621
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.
MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.