Debians sikkerhedsbulletin
DSA-1824-1 phpmyadmin -- flere sårbarheder
- Rapporteret den:
- 25. jun 2009
- Berørte pakker:
- phpmyadmin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2009-1150, CVE-2009-1151.
- Yderligere oplysninger:
-
Flere fjernudnytbare sårbarheder er opdaget i phpMyAdmin, et værktøj til webadministrering af MySQL. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2009-1150
Udførelse af skripter på tværs af websteder i eksportsiden, gjorde det muligt for en angriber, der kunne placere fabrikerede cookies hos brugeren, at indsprøjte vilkårligt webskript eller HTML.
- CVE-2009-1151
En statisk kodeindsprøjtning gjorde det muligt for en fjernangriber at sprøjte vilkårlig kode ind i phpMyAdmin gennem skriptet setup.php. Skriptet er under normale omstændigheder beskyttet af Apaches autentifikation i Debian. Men på grund af en nyligt opdaget orm, der er baseret på denne sårbarhed, retter vi alligevel problemet, for at beskytte installationer, som på en eller anden måde udstiller skriptet setup.php.
I den gamle stabile distribution (etch), er disse problemer rettet i version 2.9.1.1-11.
I den stabile distribution (lenny), er disse problemer rettet i version 2.11.8.1-5+lenny1.
I den ustabile distribution (sid), er disse problemer rettet i version 3.1.3.1-1.
Vi anbefaler at du opgraderer din phpmyadmin-pakke.
- CVE-2009-1150
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11_all.deb
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.