Рекомендация Debian по безопасности

DSA-1675-1 phpmyadmin -- недостаточная очистка ввода

Дата сообщения:
30.11.2008
Затронутые пакеты:
phpmyadmin
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2008-4326.
Более подробная информация:

Масако Ооно обнаружил, что phpMyAdmin, веб-интерфейс для администрирования MySQL, выполняет недостаточную очистку вводных данных, позволяя удалённому злоумышленнику собирать чувствительную информацию при помощи межсайтового скриптинга при условии, что пользователь использует веб-браузер Internet Explorer.

Данное обновление исправляет регресс, появившийся в DSA 1641, который привёл к поломке изменения языка и кодировки на странице входа.

В стабильном выпуске (etch) эти проблемы были исправлены в версии 4:2.9.1.1-9.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4:2.11.8.1-3.

Рекомендуется обновить пакет phpmyadmin.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-9.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-9.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-9_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.