Debians sikkerhedsbulletin
DSA-2975-1 phpmyadmin -- sikkerhedsopdatering
- Rapporteret den:
- 9. jul 2014
- Berørte pakker:
- phpmyadmin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-4995, CVE-2013-4996, CVE-2013-5002, CVE-2013-5003, CVE-2014-1879.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i phpMyAdmin, et værktøj til administrering af MySQL via web. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2013-4995
Autentificerede brugere kunne indsprøjte vilkårligt webskript eller HTML ved hjælp af en fabrikeret SQL-forespørgsel.
- CVE-2013-4996
Udførelse af skripter på tværs af websteder var muligt gennem en fabrikeret logo-URL i navigeringspanelet eller en fabrikeret forekomst i Trusted Proxies-listen.
- CVE-2013-5002
Autentificerede brugere kunne indsprøjte vilkårligt webskript eller HTML ved hjælp af en fabrikeret pageNumber-værdi i Schema Export.
- CVE-2013-5003
Autentificerede brugere kunne udføre vilkårlige SQL-kommandoer som phpMyAdmins
control user
gennem scale-parameteret PMD PDF-eksport og parameteret pdf_page_number i Schema Export. - CVE-2014-1879
Autentificerede brugere kunne indsprøjte vilkårligt webskript eller HTML gennem et fabrikeret filnavn i funktionen Import.
I den stabile distribution (wheezy), er disse problemer rettet i version 4:3.4.11.1-2+deb7u1.
I den ustabile distribution (sid), er disse problemer rettet i version 4:4.2.5-1.
Vi anbefaler at du opgraderer dine phpmyadmin-pakker.
- CVE-2013-4995