Säkerhetsbulletin från Debian
DSA-2975-1 phpmyadmin -- säkerhetsuppdatering
- Rapporterat den:
- 2014-07-09
- Berörda paket:
- phpmyadmin
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2013-4995, CVE-2013-4996, CVE-2013-5002, CVE-2013-5003, CVE-2014-1879.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i phpMyAdmin, ett verktyg för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2013-4995
Autentiserade användare kunde injicera godtyckliga webbskript eller HTML via en skapad SQL-förfrågan.
- CVE-2013-4996
Sajtöverskridande skriptning var möjligt via en skapad logo-URL i navigationspanelen eller en skapat inlägg i listan på Trusted Proxies.
- CVE-2013-5002
Autentiserade användare kunde injicera godtyckliga webbskript eller HTML via ett skapat värde på pageNumber i Schema Export.
- CVE-2013-5003
Autentiserade användare kunde köra godtyckliga SQL-kommandon som phpMyAdmin
control user
via scale-parametern PMD PDF export och parametern pdf_page_number i Schema Export. - CVE-2014-1879
Autentiserade användare kunde injivera godtyckliga webbskript eller HTML via ett skapat filnamn i Import-funktionen.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 4:3.4.11.1-2+deb7u1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 4:4.2.5-1.
Vi rekommenderar att ni uppgraderar era phpmyadmin-paket.
- CVE-2013-4995