Säkerhetsbulletin från Debian

DSA-1693-2 phppgadmin -- flera sårbarheter

Rapporterat den:
2008-12-27
Berörda paket:
phppgadmin
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 427151, Fel 449103, Fel 508026.
I Mitres CVE-förteckning: CVE-2007-2865, CVE-2007-5728, CVE-2008-5587.
Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i phpPgAdmin, ett verktyg för administrering av en PostgreSQL-databas över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2007-2865

    En serveröverskridande skriptsårbarhet tillåter angripare utifrån att injicera godtyckliga webbskript eller HTML med hjälp av serverparametern.

  • CVE-2007-5728

    En serveröverskridande skriptsårbarhet tillåter angripare utifrån att injicera godtyckliga webbskript eller HTML med hjälp av PHP_SELF.

  • CVE-2008-5587

    En katalogtraverseringssårbarhet tillåter angripare utifrån att läsa godtyckliga filer med hjälp av parametern _language.

För den stabila utgåvan (Etch) har dessa problem rättats i version 4.0.1-3.1etch2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.2.1-1.1.

Vi rekommenderar att ni uppgraderar ert phppgadmin-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2.dsc
http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.