Säkerhetsbulletin från Debian
DSA-1918-1 phpmyadmin -- flera sårbarheter
- Rapporterat den:
- 2009-10-25
- Berörda paket:
- phpmyadmin
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 552194.
I Mitres CVE-förteckning: CVE-2009-3696, CVE-2009-3697. - Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i phpMyAdmin, ett verktyg för administrering av MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-3696
En sårbarhet för serveröverskridande skriptproblem (XSS) tillåter angripare utifrån att injicera godtyckliga webbskript eller HTML med hjälp av ett specialskrivet MySQL-tabellnamn.
- CVE-2009-3697
En SQL-injiceringssårbarhet i PDF-schemageneratorfunktionaliteten tillåter angripare utifrån att exekvera godtyckliga SQL-kommandon. Detta problem gäller inte versionen i Debian 4.0 Etch.
Dessutom har extra skydd lagts till för det webbaserade skriptet setup.php. Visserligen ska den webbserverkonfigurering som följer med paketet se till att detta skript är skyddat, men i praktiken har det visat sig att så inte är fallet. Filen config.inc.php är inte längre skrivbar av webbserveranvändaren. Se README.Debian för detaljer kring hur ni kan aktivera skriptet setup.php om och när ni behöver det.
För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 2.9.1.1-13.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 2.11.8.1-5+lenny3.
För den instabila utgåvan (Sid) har dessa problem rättats i version 3.2.2.1-1.
Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.
- CVE-2009-3696
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13_all.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.