セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2286-1 phpmyadmin

Debian セキュリティ勧告

DSA-2286-1 phpmyadmin -- 複数の脆弱性

報告日時:

2011-07-26

影響を受けるパッケージ:

phpmyadmin

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-2505, CVE-2011-2506, CVE-2011-2507, CVE-2011-2508, CVE-2011-2642.

詳細:

MySQL をウェブから管理するツール phpMyAdmin に複数の欠陥が発見されま した。The Common Vulnerabilities and Exposures project は以下の問題 を認識しています。

• CVE-2011-2505 Swekey 認証でセッション改竄が行える可能性があります。
• CVE-2011-2506

  セッション変数が改竄されていた場合、setup スクリプトを用いたコード 挿入の可能性があります。

• CVE-2011-2507

  Synchronize コードに正規表現クオーティングの問題があります。

• CVE-2011-2508

  MIME タイプ変換でディレクトリトラバーサルの可能性があります。

• CVE-2011-2642

  攻撃者が細工したテーブル名を作成できる場合、Table Print view にクロ スサイトスクリプティング脆弱性があります。

• まだ CVE番号はありません

  Swekey 認証に、スーパーグローバル変数とローカル変数の改竄が行える可 能性があります (PMASA-2011-12)。

旧安定版ディストリビューション (lenny) では、CVE-2011-2642 のみ影響が あり、バージョン 2.11.8.1-5+lenny9 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は バージョン 3.3.7-6 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 3.4.3.2-1 で修正されています。

直ぐに phpmyadmin パッケージをアップグレードすることを勧めます。