Информация по безопасности / 2014 / Информация о безопасности -- DSA-2975-1 phpmyadmin

Рекомендация Debian по безопасности

DSA-2975-1 phpmyadmin -- обновление безопасности

Дата сообщения:

09.07.2014

Затронутые пакеты:

phpmyadmin

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-4995, CVE-2013-4996, CVE-2013-5002, CVE-2013-5003, CVE-2014-1879.

Более подробная информация:

В phpMyAdmin, инструменте для администрирования MySQL через веб, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-4995

  Авторизованные пользователи могут ввести произвольный веб-сценарий или код на HTML с помощью специально сформированного запроса SQL.

• CVE-2013-4996

  Через специально сформированный URL логотипа в навигационной панели, либо через специально сформированную запись в списке доверенных прокси возможно организовать межсайтовых скриптинг.

• CVE-2013-5002

  Авторизованные пользователи могут ввести произвольный веб-сценарий или код на HTML с помощью специально сформированного значения pageNumber в Schema Export.

• CVE-2013-5003

  Авторизованные пользователи могут выполнить произвольный запрос SQL от лица управляющего пользователя с помощью экспорт параметра PMD PDF и параметр pdf_page_number в Schema Export.

• CVE-2014-1879

  Авторизованные пользователи могут ввести произвольный веб-сценарий или код на HTML с помощью специально сформированного имени файла в функции Import.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4:3.4.11.1-2+deb7u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4:4.2.5-1.

Рекомендуется обновить пакеты phpmyadmin.