Säkerhetsbulletin från Debian
DSA-1824-1 phpmyadmin -- flera sårbarheter
- Rapporterat den:
- 2009-06-25
- Berörda paket:
- phpmyadmin
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2009-1150, CVE-2009-1151.
- Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i phpMyAdmin, ett verktyg för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-1150
Sårbarhet för serveröverskridande skriptproblem i exportsidan tillåter en angripare att placera specialskrivna kakor hos användaren för att injicera godtyckliga webbskript eller HTML.
- CVE-2009-1151
Injicering av statisk kod tillåter en angripare utifrån att injicera godtycklig kod i phpMyAdmin via setup.php-skriptet. I Debian skyddas detta skript under normala omständigheter via Apaches autentisering. Men på grund av en ny mask som baseras på denna brist, rättar vi ändå felet för att också skydda installationer som av någon anledning exponerar setup.php-skriptet.
För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 2.9.1.1-11.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 2.11.8.1-5+lenny1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 3.1.3.1-1.
Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.
- CVE-2009-1150
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-11_all.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.