Рекомендация Debian по безопасности
DSA-2139-1 phpmyadmin -- несколько уязвимостей
- Дата сообщения:
- 31.12.2010
- Затронутые пакеты:
- phpmyadmin
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2010-4329, CVE-2010-4480, CVE-2010-4481.
- Более подробная информация:
-
В phpMyAdmin, инструменте для администрирования MySQL через веб, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2010-4329
На странице поиска возможен межсайтовый скриптинг, позволяющий удалённому злоумышленнику вводить произвольный веб-сценарий или код HTML.
- CVE-2010-4480
На странице ошибок возможен межсайтовый скриптинг, позволяющий удалённому злоумышленнику вводить произвольный веб-сценарий или код HTML.
- CVE-2010-4481
Отображение PHP-функции phpinfo() доступно всем пользователям, но только в том случае, если эта функциональность включена (по умолчанию она выключена). Это может приводить к утечке некоторой информации о системе.
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 2.11.8.1-5+lenny7.
В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.3.7-3.
Рекомендуется обновить пакет phpmyadmin.
Дополнительную информацию о рекомендация Debian по безопасности, том, как применять эти обновления, а также ответы на часто задаваемые вопросы можно найти по адресу: https://www.debian.org/security/
- CVE-2010-4329