Säkerhetsbulletin från Debian
DSA-1557-1 phpmyadmin -- otillräcklig städning av indata
- Rapporterat den:
- 2008-04-24
- Berörda paket:
- phpmyadmin
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2008-1149, CVE-2008-1567, CVE-2008-1924, CVE-2008-1924, CVE-2008-1567, CVE-2008-1149.
- Ytterligare information:
-
Man har upptäckt flera utifrån nåbara sårbarheter i phpMyAdmin, ett program för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2008-1924
Angripare med behörighet att utföra CREATE på tabeller kunde läsa godtyckliga filer läsbara av webbservern via ett specialskrivet HTTP POST-anrop.
- CVE-2008-1567
PHP-sessionsdatafilen sparade användar-id och lösenord för en inloggad användare, vilket i vissa konfigurationen kunde läsas av en lokal användare.
- CVE-2008-1149
Användare som hade behörighet att skapa kakor i samma kak-domän som phpMyAdmin kördes i kunde skapa serveröverskridande skript och utföra SQL-injicering.
För den stabila utgåvan (Etch) har dessa problem rättats i version 4:2.9.1.1-7.
För den instabila utgåvan (Sid) har dessa problem rättats i version 4:2.11.5.2-1.
Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.
- CVE-2008-1924
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-7.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-7.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-7_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.