Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Aviso de seguridad de Debian

DSA-880-1 phpmyadmin -- varias vulnerabilidades

Fecha del informe:

2 de nov de 2005

Paquetes afectados:

phpmyadmin

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 328501, error 335306, error 335513.
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 15169.
En el diccionario CVE de Mitre: CVE-2005-2869, CVE-2005-3300, CVE-2005-3301.

Información adicional:

Se han descubierto varias vulnerabilidades de guiones a través del sitio en phpmyadmin, un juego de guiones en PHP para administrar MySQL mediante WWW. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

• CAN-2005-2869

  Andreas Kerber y Michal Cihar descubrieron varias vulnerabilidades de guiones a través del sitio en la página de error y en el registro de la cookie.

• CVE-2005-3300

  Stefan Esser descubrió un olvido en las comprobaciones de seguridad en grab_globals.php, que podía permitir que un atacante indujese a phpmyadmin a incluir un archivo local arbitrario.

• CVE-2005-3301

  Tobias Klein descubrió varias vulnerabilidades de guiones a través del sitio, que podía permitir que los atacantes inyectasen código HTML arbitrario o guiones del lado del cliente.

La versión de la distribución estable anterior (woody) probablemente tenga sus propias debilidades y no es tan fácil de corregir sin una auditoría completa y una sesión de parcheo. La mejor opción es actualizar de woody a sarge.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 2.6.2-3sarge1.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.6.4-pl3-1.

Le recomendamos que actualice el paquete phpmyadmin.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.dsc

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.diff.gz

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz

Componentes independientes de la arquitectura:

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Esta página también está disponible en los siguientes idiomas:

dansk Deutsch English français svenska

Cómo modificar el idioma por defecto de los documentos