Säkerhetsbulletin från Debian

DSA-1207-2 phpmyadmin -- flera sårbarheter

Rapporterat den:
2006-11-09
Berörda paket:
phpmyadmin
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 339437, Fel 340438, Fel 362567, Fel 368082, Fel 391090.
I Mitres CVE-förteckning: CVE-2006-1678, CVE-2006-2418, CVE-2005-3621, CVE-2005-3665, CVE-2006-5116.
Ytterligare information:

Uppdateringen av phpmyadmin i DSA 1207 introducerade ett nytt fel. Denna uppdatering rättar detta fel. Texten från originalbulletinen följer nedan:

Flera utifrån nåbara sårbarheter har upptäckts i phpMyAdmin, ett program för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2005-3621

    CRLF-injiceringssårbarhet gjorde det möjligt för angripare utifrån att utföra HTTP-svarsdelningsangrepp.

  • CVE-2005-3665

    Flera serveröverskridande skriptsårbarheter (XSS) gjorde det möjligt för angripare utifrån att injicera godtyckliga webbskript eller HTML-kod via (1) HTTP_HOST-variabeln och (2) diverse skript i bibliotekskatalogen som hanterar generering av huvuden.

  • CVE-2006-1678

    Flera serveröverskridande skriptproblem (XSS) gjorde det möjligt för angripare utifrån att injicera godtyckliga webbskript eller HTML-kod via skript i themes-katalogen.

  • CVE-2006-2418

    En serveröverskridande skriptsårbarhet (XSS) gjorde det möjligt för angripare utifrån att injicera godtyckliga webbskript eller HTML-kod via db-parametern i footer.inc.php.

  • CVE-2006-5116

    En angripare utifrån kunde skriva över interna variabler via den globala variabeln _FILES.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 2.6.2-3sarge3.

För den kommande stabila utgåvan (Etch) och den instabila utgåvan (Sid) har dessa problem rättats i version 2.9.0.3-1.

Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.