Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2286-1 phpmyadmin

Säkerhetsbulletin från Debian

DSA-2286-1 phpmyadmin -- flera sårbarheter

Rapporterat den:

2011-07-26

Berörda paket:

phpmyadmin

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-2505, CVE-2011-2506, CVE-2011-2507, CVE-2011-2508, CVE-2011-2642.

Ytterligare information:

Flera sårbarheter har upptäckts i phpMyAdmin, ett verktyg för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2011-2505

  Möjlig sessionsmanipulation i Swekey-autentisering.

• CVE-2011-2506

  Möjlig kodinjicering i setupskript, om sessionsvariabler är kompromissade.

• CVE-2011-2507

  Problem med citat av reguljära uttryck i Synchronize-kod.

• CVE-2011-2508

  Möjlig katalogtraversering i MIME-typ-transformering.

• CVE-2011-2642

  Sajtöverskridande skriptsårbarhet i table Print view när angriparen kan skapa skapade tabellnamn.

• Inget CVE-namn ännu

  Möjlig manipulation av superglobala och lokala variabler i Swekey-autentisering. (PMASA-2011-12)

Den gamla stabila utgåvan (Lenny) påverkas endast av CVE-2011-2642, som har rättats i version 2.11.8.1-5+lenny9.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 3.3.7-6.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har dessa problem rättats i version 3.4.3.2-1.

Vi rekommenderar att ni uppgraderar era phpmyadmin-paket.