Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2286-1 phpmyadmin

Debians sikkerhedsbulletin

DSA-2286-1 phpmyadmin -- flere sårbarheder

Rapporteret den:

26. jul 2011

Berørte pakker:

phpmyadmin

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-2505, CVE-2011-2506, CVE-2011-2507, CVE-2011-2508, CVE-2011-2642.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i phpMyAdmin, et værktøj til administration af MySQL via web. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2011-2505

  Mulig sessionsmanipulation i Swekey-autentificering.

• CVE-2011-2506

  Mulig kodeindsprøjtning i setupskript, i fald sessionsvariable er kompromitterede.

• CVE-2011-2507

  Problem med citering af regulære udtryk i Synchronize-kode.

• CVE-2011-2508

  Muligt mappegennemløb i MIME-typetransformation.

• CVE-2011-2642

  Udførelse af skripter på tværs af websteder i tabel-Print-visning, når en angriber kan oprette fabrikerede tabelnavne.

• Endnu intet CVE-navn

  Mulig manipulation med superglobale og lokale variable i Swekey-autentificering. (PMASA-2011-12)

Den gamle stabile distribution (lenny) er kun påvirket af CVE-2011-2642, som er rettet i version 2.11.8.1-5+lenny9.

I den stabile distribution (squeeze), er disse problemer rettet i version 3.3.7-6.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 3.4.3.2-1.

Vi anbefaler at du opgraderer dine phpmyadmin-pakker.