Boletines de Vulnerabilidades

int(3594)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en phpMyAdmin
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Obtener acceso
Dificultad	Experto
Requerimientos del atacante	Acceso remoto con cuenta
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	Networking
Software afectado	phpMyAdmin < 2.11.2.1
Descripción
Se han encontrado múltiples vulnerabilidades en phpMyAdmin en las versiones anteriores a la 2.11.2.1. Las vulnerabilidades son descritas a continuación. - CVE-2007-5976: Se ha encontrado una vulnerabilidad del tipo inyección SQL en phpMyAdmin en las versiones anteriores a la 2.11.2.1. La vulnerabilidad reside en un error en el fichero db_create.php. Un atacante local con privilegios para realizar CREATE DATABASE podría ejecutar comandos SQL de forma arbitraria mediante el parámetro db. - CVE-2007-5977: Se ha encontrado una vulnerabilidad del tipo cross-site scripting en phpMyAdmin en las versiones anteriores a la 2.11.2.1. La vulnerabilidad reside en un error en el fichero db_create.php. Un atacante local con privilegios para realizar CREATE DATABASE podría inyectar código web script o HTML de forma arbitraria mediante un elemento IMG codificado en hexadecimal en el parámetro db en una petición POST.
Solución
Actualización de software Mandriva (MDKSA-2007:229) Corporate Server 4.0 X86 corporate/4.0/i586/phpMyAdmin-2.11.2.2-0.1.20060mlcs4.noarch.rpm corporate/4.0/SRPMS/phpMyAdmin-2.11.2.2-0.1.20060mlcs4.src.rpm X86_64 corporate/4.0/x86_64/phpMyAdmin-2.11.2.2-0.1.20060mlcs4.noarch.rpm corporate/4.0/SRPMS/phpMyAdmin-2.11.2.2-0.1.20060mlcs4.src.rpm
Identificadores estándar
Propiedad	Valor
CVE	CVE-2007-5976 CVE-2007-5977
BID
Recursos adicionales
Mandriva Security Advisory (MDKSA-2007:229) http://www.mandriva.com/security/advisories?name=MDKSA-2007:229