Debian セキュリティ勧告
DSA-2139-1 phpmyadmin -- 複数の脆弱性
- 報告日時:
- 2010-12-31
- 影響を受けるパッケージ:
- phpmyadmin
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.
- 詳細:
-
MySQL をウェブ経由で管理するツール phpMyAdmin に、複数の問 題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
- CVE-2010-4329
サーチ時にクロスサイトスクリプティング攻撃が可能で、リモ ートの攻撃者から任意のウェブスクリプトや HTML を挿入可能 です。
- CVE-2010-4480
エラー時にクロスサイトスクリプティング攻撃が可能で、リモ ートの攻撃者から任意のウェブスクリプトや HTML を挿入可能 です。
- CVE-2010-4481
PHP の phpinfo() 関数表示が誰からも可能になっているためホ ストシステムからの情報漏洩の可能性があります。但し、この 機能は通常は無効化されています。
安定版 (stable) ディストリビューション (lenny) では、これら の問題はバージョン 2.11.8.1-5+lenny7 で修正されています。
テスト版 (squeeze) および不安定版 (unstable) ディストリビュ ーションでは、これらの問題はバージョン 3.3.7-3 で修正されて います。
直ぐに phpmyadmin パッケージをアップグレードすることを勧め ます。
Debian Security Advisories に関する説明、これらの更新をシ ステムに適用する方法、FAQ などは https://www.debian.org/security/ を参照ください。
- CVE-2010-4329