Информация по безопасности / 2011 / Информация о безопасности -- DSA-2333-1 phpldapadmin

Рекомендация Debian по безопасности

DSA-2333-1 phpldapadmin -- несколько уязвимостей

Дата сообщения:

31.10.2011

Затронутые пакеты:

phpldapadmin

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 646754.
В каталоге Mitre CVE: CVE-2011-4075, CVE-2011-4074.

Более подробная информация:

В phpLDAPadmin, веб-интерфейсе для администрирования LDAP-серверов, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2011-4074

  Входные данные, добавляемые к URL в cmd.php (когда cmd имеет значение _debug), очищаются неправильно до их возврата пользователю. Это может использоваться для выполнения произвольного кода HTML или сценария в браузере пользователя в контексте подверженного уязвимости сайта.

• CVE-2011-4075

  Входные данные, передаваемые параметру orderby в cmd.php (когда cmd имеет значение query_engine, query имеет значение none, а search имеет значение, например, 1), неправильно очищаются в lib/functions.php до их использования в вызове функции create_function(). Это может использоваться для введения и выполнения произвольного кода на языке PHP.

В предыдущем стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.1.0.5-6+lenny2.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.2.0.5-2+squeeze1.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.2.0.5-2.1.

Рекомендуется обновить пакеты phpldapadmin.