Рекомендация Debian по безопасности
DSA-2097-1 phpmyadmin -- недостаточная очистка входных данных
- Дата сообщения:
- 29.08.2010
- Затронутые пакеты:
- phpmyadmin
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2010-3055, CVE-2010-3056.
- Более подробная информация:
-
В phpMyAdmin, инструменте для администрирования MySQL через веб-интерфейс, было обнаружено несколько удалённых уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2010-3055
Сценарий установки настроек неправильно выполняет очистку выходного файла, что позволяет удалённым злоумышленникам выполнять произвольный код на языке PHP с помощью специально сформированного POST-запроса. В Debian этот инструмент настройки по умолчанию защищён через базовую аутентификацию Apache HTTP.
- CVE-2010-3056
Были обнаружены различные проблемы с межсайтовым скриптингом, позволяющие удалённым злоумышленникам вставлять произвольный веб-сценарий или код HTML.
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 2.11.8.1-5+lenny5.
В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.3.5.1-1.
Рекомендуется обновить пакет phpmyadmin.
- CVE-2010-3055
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.dsc
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.