—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-0987 – Schwachstelle in phpMyAdmin vor Version 3.3.9.2 bzw.
2.11.11.3
In phpMyAdmin vor Version 3.3.9.2 bzw. 2.11.11.3 koennen Lesezeichen in
unsicherer Weise angelegt und mit diesen SQL Abfragen unberechtigt durch
andere Benutzer aufgerufen werden. Ein entfernter Angreifer kann diese
Schwachstelle ausnutzen, um unberechtigten Zugriff auf Datenbanken zu
erhalten.
CVE-2011-0986 – Preisgabe von Pfadnamen in phpMyAdmin vor Version
3.3.9.1 bzw. 2.11.11.2
In phpMyAdmin vor Version 3.3.9.1 bzw. 2.11.11.2 werden Fehlermeldungen
in unsicherer Weise dargestellt. Wurden die Dateien README, ChangeLog
oder LICENSE vom urspruenglichen Ort entfernt, kann durch die Skripte
fuer Ihre Anzeige eine Fehlermeldung mit vollstaendiger Pfadangabe
dargestellt werden, welche weitere Angriffe unterstuetzen kann. Diese
Ausgabe erfolgt nur, wenn in der php.ini das error_reporting auf ‘E_ALL’
und display_errors ‘on’ gesetzt sind, welches fuer ein Produktivsystem
nicht empfohlen wird.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket phpMyAdmin
Fedora 15
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Matthias Braeck
– —
Matthias Braeck (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-1282
2011-02-11 00:04:14
– ——————————————————————————–
Name : phpMyAdmin
Product : Fedora 15
Version : 3.3.9.2
Release : 1.fc15
URL : http://www.phpmyadmin.net/
Summary : Web based MySQL browser written in php
Description :
phpMyAdmin is a tool written in PHP intended to handle the administration of
MySQL over the Web. Currently it can create and drop databases,
create/drop/alter tables, delete/edit/add fields, execute any SQL statement,
manage keys on fields, manage privileges, export data into various formats and
is available in over 55 languages.
– ——————————————————————————–
Update Information:
Changes for 3.3.9.1 (2011-02-08)
* [security] Path disclosure, see PMASA-2011-1
* http://www.phpmyadmin.net/home_page/security/PMASA-2011-1.php
Changes for 3.3.9.2 (2011-02-11)
* [security] SQL injection, see PMASA-2011-2
* http://www.phpmyadmin.net/home_page/security/PMASA-2011-2.php
– ——————————————————————————–
References:
[ 1 ] Bug #676172 – phpMyAdmin-3.3.9.1 is available
https://bugzilla.redhat.com/show_bug.cgi?id=676172
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update phpMyAdmin’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNb5UXAAoJEJtyb8U7iGZBpPsH/3U99y8tZCUS7pIkCrXKwVoN
eWz917/PW6KqMkx88Hyrfm5TCBVGYnXbepOUUsbdpkfuUkiFaIr769ZYazdwKV2E
BV4YzofBq/1oY4wS1vrSHkA9PWhlUT59liCkW3YDvLCYUYkDTQmvODtgVZuIRAtC
p/JmNyAEqPajBvIK2dXYabYs5ckY42ThF0ypJUjqRYk6wno1yNJdyUMjR6NgCVva
SNJ0EOqsSM8d1rhu0NjepMxLGYqP9MEjwdRi8PsB02brYmbtDa1RuebPV5tlh0ec
fNpLo46B/6fOyxShR7RoyTa8kYelFGiTo4U5yADwVjs+1EACtfWMpcHbc+gdEOk=
=/GQs
—–END PGP SIGNATURE—–
