Vulnerability Bulletins |
Múltiples vulnerabilidades en phpMyAdmin |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de privilegios |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
phpMyAdmin < 2.11.7 phpMyAdmin < 3.1.1.0 |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en phpMyAdmin. Las vulnerabilidades son descritas a continuación: - CVE-2008-2960: Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting. Un atacante remoto podría inyectar código web arbitrario mediante métodos relacionados con scripts dentro de "libraries/". - CVE-2008-5621: Se ha descubierto una vulnerabilidad de tipo Cross-Site Request Forgery en phpMyAdmin 2.11 y 3. Un atacante remoto podría realizar acciones no autorizadas como administrador mediante un enlace o una etiqueta IMG en "tbl_structure.php". Exploit público disponible. - CVE-2008-5622: Se ha descubierto una vulnerabilidad de tipo Cross-Site Request Forgery en phpMyAdmin 2.11 y 3. Un atacante remoto podría realizar ataques de inyección SQL mediante métodos no especificados relacionados con el parámetro "table". |
|
Solution |
|
|
Actualización de software Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux. Debian (DSA-1723-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-10.dsc http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-10.diff.gz Arquitectura independiente: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-10_all.deb |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2008-2960 CVE-2008-5621 CVE-2008-5622 |
| BID | 32720 |
Other resources |
|
|
SUSE Security Advisory (SUSE-SR:2009:003) http://www.novell.com/linux/security/advisories/2009_3_sr.html Debian Security Advisory (DSA-1723-1) http://lists.debian.org/debian-security-announce/2009/msg00032.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2009-02-06 |
| 1.1 | Aviso emitido por Debian (DSA-1723-1) | 2009-02-17 |