Debians sikkerhedsbulletin
DSA-2139-1 phpmyadmin -- flere sårbarheder
- Rapporteret den:
- 31. dec 2010
- Berørte pakker:
- phpmyadmin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i phpMyAdmin, et værktøj til at administrere MySQL via web. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2010-4329
Udførelse af skripter på tværs af websteder var muligt i search, der gjorde det muligt for en fjernangriber at indsprøjte vilkårligt webskript eller HTML.
- CVE-2010-4480
Udførelse af skripter på tværs af websteder var muligt i errors, der gjorde det muligt for en fjernangriber at indsprøjte vilkårligt webskript eller HTML.
- CVE-2010-4481
Visning af PHP's phpinfo()-funktion var tilgængelig for alle, men kun hvis funktionaliteten var blevet aktiveret (standard er deaktiveret). Derved kunne der måske lækkes nogle oplysninger om værtssystemet.
I den stabile distribution (lenny), er disse problemer rettet i version 2.11.8.1-5+lenny7.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 3.3.7-3.
Vi anbefaler at du opgraderer din phpmyadmin-pakke.
Flere oplysninger om Debian Security Advisories, hvordan man installerer disse opdatering på sit system samt ofte stillede spørgsmål findes på: https://www.debian.org/security/
- CVE-2010-4329