int(5443)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en phpMyAdmin

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado phpMyAdmin 2.11.x < 2.11.10.1
phpMyAdmin 3.x < 3.3.5.1

Descripción
Se han descubierto múltiples vulnerabilidades en phpMyAdmin. Las vulnerabilidades son descritas a continuación:

- CVE-2010-3055: Se ha encontrado una vulnerabilidad en phpMyAdmin 2.11.x anterior a 2.11.10.1. La vulnerabilidad reside en un error de configuración en "scripts/setup.php". Un atacante remoto podría ejecutar código PHP arbitrario mediante una petición POST especialmente manipulada.

- CVE-2010-3056: Se ha encontrado una vulnerabilidad en phpMyAdmin 2.11.x anterior a 2.11.10.1, y 3.x anterior a 3.3.5.1. Un atacante remoto podría ejecutar código script o HTML arbitrario mediante métodos no especificados.

Solución


Actualización de software

Debian (DSA 2097-1)

Debian Linux 5.0
Source
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.dsc
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5.diff.gz
independent packages:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny5_all.deb

Identificadores estándar
Propiedad Valor
CVE CVE-2010-3055
CVE-2010-3056
BID 42584

Recursos adicionales
Debian Security Advisory (DSA 2097-1)
http://lists.debian.org/debian-security-announce/2010/msg00143.html

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2010-08-30

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT