Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en phpMyAdmin |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de la visibilidad |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | phpMyAdmin < 2.6.4-pl3 |
Descripción |
|
|
Se han descubierto múltiples vulnerabilidades en phpMyAdmin versiones anteriores a 2.6.4-pl3. Las vulnerabilidades son descritas a continuación: - CAN-2005-2869: Se han descubierto múltiples vulnerabilidades cross-site scripting. Las vulnerabilidades residen en "libraries/auth/cookie.auth.lib.php" y en "error.php". Un atacante remoto podría inyectar código HTML o código script de cliente arbitrario. - CVE-2005-3300: La vulnerabilidad reside en que faltan algunas validaciones de seguridad en "grab_globals.php". Un atacante remoto podría subir al servidor atacado ficheros arbitrarios mediante peticiones directas a librerías que no utilicen "grab_globals.php". - CVE-2005-3301: Se han descubierto múltiples vulnerabilidades cross-site scripting. Las vulnerabilidades residen en "left.php", "queryframe.php", y "server_databases.php". Un atacante remoto podría inyectar código HTML o código script de cliente arbitrario. |
|
Solución |
|
|
Actualización de software Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.dsc http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.diff.gz http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1_all.deb Suse SUSE LINUX 10.0 / x86 ftp://ftp.suse.com/pub/suse/i386/update/10.0/rpm/noarch/phpMyAdmin-2.6.3pl1-3.3.noarch.rpm SUSE LINUX 9.3 / x86 ftp://ftp.suse.com/pub/suse/i386/update/9.3/rpm/noarch/phpMyAdmin-2.6.1pl3-4.6.noarch.rpm SUSE LINUX 9.2 / x86 ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/noarch/phpMyAdmin-2.6.0-4.11.noarch.rpm SUSE LINUX 9.1 / x86 ftp://ftp.suse.com/pub/suse/i386/update/9.1/rpm/noarch/phpMyAdmin-2.5.6-34.11.noarch.rpm ftp://ftp.suse.com/pub/suse/x86_64/update/9.1/rpm/noarch/phpMyAdmin-2.5.6-34.11.noarch.rpm SuSE Linux 9.0 / x86 ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/noarch/phpMyAdmin-2.5.3-41.noarch.rpm ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/noarch/phpMyAdmin-2.5.3-41.noarch.rpm SUSE LINUX 10.0 / Sources ftp://ftp.suse.com/pub/suse/i386/update/10.0/rpm/src/phpMyAdmin-2.6.3pl1-3.3.src.rpm SUSE LINUX 9.3 / Sources ftp://ftp.suse.com/pub/suse/i386/update/9.3/rpm/src/phpMyAdmin-2.6.1pl3-4.6.src.rpm SUSE LINUX 9.2 / Sources ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/src/phpMyAdmin-2.6.0-4.11.src.rpm SUSE LINUX 9.1 / Sources ftp://ftp.suse.com/pub/suse/i386/update/9.1/rpm/src/phpMyAdmin-2.5.6-34.11.src.rpm ftp://ftp.suse.com/pub/suse/x86_64/update/9.1/rpm/src/phpMyAdmin-2.5.6-34.11.src.rpm SuSE Linux 9.0 / Sources ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/src/phpMyAdmin-2.5.3-41.src.rpm ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/src/phpMyAdmin-2.5.3-41.src.rpm |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2005-2869 CVE-2005-3300 CVE-2005-3301 |
| BID | |
Recursos adicionales |
|
|
Debian Security Advisory (DSA 880-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00276.html SUSE Security Advisory (SUSE-SR:2005:025) http://www.novell.com/linux/security/advisories/2005_25_sr.html SUSE Security Advisory (SUSE-SR:2005:026) http://www.novell.com/linux/security/advisories/2005_26_sr.html SUSE Security Advisory (SUSE-SA:2005:066) http://www.novell.com/linux/security/advisories/2005_66_phpmyadmin.html SUSE Security Advisory (SUSE-SR:2005:028) http://www.novell.com/linux/security/advisories/2005_28_sr.html |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2005-11-03 |
| 1.1 | Aviso emitido por Suse (SUSE-SR:2005:025) | 2005-11-14 |
| 1.2 | Aviso emitido por Suse (SUSE-SR:2005:026) | 2005-11-16 |
| 1.3 | Aviso emitido por Suse (SUSE-SA:2005:066) | 2005-11-23 |
| 1.4 | Aviso emitido por Suse (SUSE-SR:2005:028) | 2005-12-13 |