Säkerhetsbulletin från Debian

DSA-1557-1 phpmyadmin -- otillräcklig städning av indata

Rapporterat den:

2008-04-24

Berörda paket:

phpmyadmin

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2008-1149, CVE-2008-1567, CVE-2008-1924, CVE-2008-1924, CVE-2008-1567, CVE-2008-1149.

Ytterligare information:

Man har upptäckt flera utifrån nåbara sårbarheter i phpMyAdmin, ett program för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2008-1924
Angripare med behörighet att utföra CREATE på tabeller kunde läsa godtyckliga filer läsbara av webbservern via ett specialskrivet HTTP POST-anrop.
CVE-2008-1567
PHP-sessionsdatafilen sparade användar-id och lösenord för en inloggad användare, vilket i vissa konfigurationen kunde läsas av en lokal användare.
CVE-2008-1149
Användare som hade behörighet att skapa kakor i samma kak-domän som phpMyAdmin kördes i kunde skapa serveröverskridande skript och utföra SQL-injicering.

För den stabila utgåvan (Etch) har dessa problem rättats i version 4:2.9.1.1-7.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4:2.11.5.2-1.

Vi rekommenderar att ni uppgraderar ert phpmyadmin-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-7.diff.gz; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz; http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-7.dsc
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-7_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.