Debians sikkerhedsbulletin

DSA-1824-1 phpmyadmin -- flere sårbarheder

Rapporteret den:
25. jun 2009
Berørte pakker:
phpmyadmin
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2009-1150, CVE-2009-1151.
Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i phpMyAdmin, et værktøj til webadministrering af MySQL. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-1150

    Udførelse af skripter på tværs af websteder i eksportsiden, gjorde det muligt for en angriber, der kunne placere fabrikerede cookies hos brugeren, at indsprøjte vilkårligt webskript eller HTML.

  • CVE-2009-1151

    En statisk kodeindsprøjtning gjorde det muligt for en fjernangriber at sprøjte vilkårlig kode ind i phpMyAdmin gennem skriptet setup.php. Skriptet er under normale omstændigheder beskyttet af Apaches autentifikation i Debian. Men på grund af en nyligt opdaget orm, der er baseret på denne sårbarhed, retter vi alligevel problemet, for at beskytte installationer, som på en eller anden måde udstiller skriptet setup.php.

I den gamle stabile distribution (etch), er disse problemer rettet i version 2.9.1.1-11.

I den stabile distribution (lenny), er disse problemer rettet i version 2.11.8.1-5+lenny1.

I den ustabile distribution (sid), er disse problemer rettet i version 3.1.3.1-1.

Vi anbefaler at du opgraderer din phpmyadmin-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11_all.deb

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.diff.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.