セキュリティ情報 / 2010 / セキュリティ情報 -- DSA-2139-1 phpmyadmin

Debian セキュリティ勧告

DSA-2139-1 phpmyadmin -- 複数の脆弱性

報告日時:

2010-12-31

影響を受けるパッケージ:

phpmyadmin

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.

詳細:

MySQL をウェブ経由で管理するツール phpMyAdmin に、複数の問 題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

• CVE-2010-4329

  サーチ時にクロスサイトスクリプティング攻撃が可能で、リモ ートの攻撃者から任意のウェブスクリプトや HTML を挿入可能 です。

• CVE-2010-4480

  エラー時にクロスサイトスクリプティング攻撃が可能で、リモ ートの攻撃者から任意のウェブスクリプトや HTML を挿入可能 です。

• CVE-2010-4481

  PHP の phpinfo() 関数表示が誰からも可能になっているためホ ストシステムからの情報漏洩の可能性があります。但し、この 機能は通常は無効化されています。

安定版 (stable) ディストリビューション (lenny) では、これら の問題はバージョン 2.11.8.1-5+lenny7 で修正されています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビュ ーションでは、これらの問題はバージョン 3.3.7-3 で修正されて います。

直ぐに phpmyadmin パッケージをアップグレードすることを勧め ます。

Debian Security Advisories に関する説明、これらの更新をシ ステムに適用する方法、FAQ などは https://www.debian.org/security/ を参照ください。