Säkerhetsbulletin från Debian

DSA-2975-1 phpmyadmin -- säkerhetsuppdatering

Rapporterat den:
2014-07-09
Berörda paket:
phpmyadmin
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-4995, CVE-2013-4996, CVE-2013-5002, CVE-2013-5003, CVE-2014-1879.
Ytterligare information:

Flera sårbarheter har upptäckts i phpMyAdmin, ett verktyg för att administrera MySQL över webben. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-4995

    Autentiserade användare kunde injicera godtyckliga webbskript eller HTML via en skapad SQL-förfrågan.

  • CVE-2013-4996

    Sajtöverskridande skriptning var möjligt via en skapad logo-URL i navigationspanelen eller en skapat inlägg i listan på Trusted Proxies.

  • CVE-2013-5002

    Autentiserade användare kunde injicera godtyckliga webbskript eller HTML via ett skapat värde på pageNumber i Schema Export.

  • CVE-2013-5003

    Autentiserade användare kunde köra godtyckliga SQL-kommandon som phpMyAdmin control user via scale-parametern PMD PDF export och parametern pdf_page_number i Schema Export.

  • CVE-2014-1879

    Autentiserade användare kunde injivera godtyckliga webbskript eller HTML via ett skapat filnamn i Import-funktionen.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 4:3.4.11.1-2+deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4:4.2.5-1.

Vi rekommenderar att ni uppgraderar era phpmyadmin-paket.