Debian-Sicherheitsankündigung

DSA-1641-1 phpmyadmin -- Mehrere Verwundbarkeiten

Datum des Berichts:

20. Sep 2008

Betroffene Pakete:

phpmyadmin

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2008-3197, CVE-2008-3456, CVE-2008-3457, CVE-2008-4096.

Weitere Informationen:

In phpMyAdmin, einem Hilfsprogramm für die Administration von MySQL-Datenbanken über das Internet, sind mehrere entfernte Verwundbarkeiten entdeckt worden. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

CVE-2008-4096
Auf einem Rechner, auf dem phpMyAdmin lief, konnten entfernt angemeldete Benutzer beliebigen Code ausführen, indem sie einen Parameter des Skriptes manipulierten.
CVE-2008-3457
Unter außergewöhnlichen Umständen war Site-übergreifendes Skripting mit Hilfe des Setup-Skriptes möglich.
CVE-2008-3456
Schutz gegen entfernte Internet-Websites, die phpMyAdmin in ein Frameset laden, wurde hinzugefügt.
CVE-2008-3197
Entfernte Angreifer konnten durch Site-übergreifende Anfragefälschung (Cross site request forgery) eine neue Datenbank erstellen, diese aber nicht weiter bearbeiten.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 4:2.9.1.1-8 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 4:2.11.8.1-2 behoben.

Wir empfehlen, Ihr phpmyadmin-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.dsc; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8.diff.gz; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-8_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.