Vulnerability Bulletins |
Ejecución remota de comandos en phpMyAdmin |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | phpMyAdmin >= 2.4.0 |
Description |
|
Se han encontrado dos vulnerabilidades en phpMyAdmin, que podrían ser utilizadas para comprometer un sistema con el fin de obtener informacion sensible o ejecutar comandos de shell. 1) Un error de validación de entrada en el manejo de los datos MySQL permite la inyección de comandos shell. 2) Los datos de entrada suministrados a sql_localfile no se filtran adecuadamente antes de utilizarse en read_dump.php, siendo posible comprobar la existencia de determinados ficheros en el servidor web. |
|
Solution |
|
Aplique los mecanismos de actualización propios de su sistema, o bien descargue las fuentes del software y compílelo usted mismo. Actualización de software phpMyAdmin 2.6.1-rc1 http://www.phpmyadmin.net/home_page/downloads.php#2.6.1-rc1 SUSE Linux Distribuciones basadas en SUSE Linux - Actualizar mediante YaST Online Update |
|
Standar resources |
|
Property | Value |
CVE |
CAN-2004-1147 CAN-2004-1148 |
BID | |
Other resources |
|
PhpMyAdmin Security announcements (PMASA-2004-4) http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2004-4 SUSE Security Summary Report SUSE-SR:2005:003 http://www.novell.com/linux/security/advisories/2005_03_sr.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido) | 2004-12-14 |
1.1 | Aviso emitido por SUSE (SUSE-SR:2005:003) | 2005-02-07 |