Säkerhetsbulletin från Debian

DSA-1557-1 phpmyadmin -- otillräcklig städning av indata

Rapporterat den:
2008-04-24
Berörda paket:
phpmyadmin
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2008-1149, CVE-2008-1567, CVE-2008-1924, CVE-2008-1924, CVE-2008-1567, CVE-2008-1149.
Ytterligare information:

Man har upptäckt flera utifrån nåbara sårbarheter i phpMyAdmin, ett program för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2008-1924

    Angripare med behörighet att utföra CREATE på tabeller kunde läsa godtyckliga filer läsbara av webbservern via ett specialskrivet HTTP POST-anrop.

  • CVE-2008-1567

    PHP-sessionsdatafilen sparade användar-id och lösenord för en inloggad användare, vilket i vissa konfigurationen kunde läsas av en lokal användare.

  • CVE-2008-1149

    Användare som hade behörighet att skapa kakor i samma kak-domän som phpMyAdmin kördes i kunde skapa serveröverskridande skript och utföra SQL-injicering.

För den stabila utgåvan (Etch) har dessa problem rättats i version 4:2.9.1.1-7.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4:2.11.5.2-1.

Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-7.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-7.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-7_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.