—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-0987 – Schwachstelle in phpMyAdmin vor Version 3.3.9.2 bzw.
2.11.11.3
In phpMyAdmin vor Version 3.3.9.2 bzw. 2.11.11.3 koennen Lesezeichen in
unsicherer Weise angelegt und mit diesen SQL Abfragen unberechtigt durch
andere Benutzer aufgerufen werden. Ein entfernter Angreifer kann diese
Schwachstelle ausnutzen, um unberechtigten Zugriff auf Datenbanken zu
erhalten.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket phpmyadmin in der old stable Distribution (lenny) vor Version
4:2.11.8.1-5+lenny8
Paket phpmyadmin in der stable Distribution (squeeze) vor Version
4:3.3.7-5
Paket phpmyadmin in der unstable Distribution (sid) vor Version
4:3.3.9.2-1
Paket phpmyadmin in der testing Distribution (wheezy) vor Version
4:3.3.9.2-1
Old Stable Distribution (lenny)
Stable Distribution (squeeze)
Unstable Distribution (sid)
Testing Distribution (wheezy)
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Timo Schulz
– —
Timo Schulz, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
– – ————————————————————————-
Debian Security Advisory DSA-2167-1 security@debian.org
http://www.debian.org/security/ Thijs Kinkhorst
February 16, 2011 http://www.debian.org/security/faq
– – ————————————————————————-
Package : phpmyadmin
Vulnerability : sql injection
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-0987
It was discovered that phpMyAdmin, a a tool to administer MySQL over
the web, when the bookmarks feature is enabled, allowed to create a
bookmarked query which would be executed unintentionally by other users.
For the oldstable distribution (lenny), this problem has been fixed in
version 4:2.11.8.1-5+lenny8.
For the stable distribution (squeeze), this problem has been fixed in
version 4:3.3.7-5.
For the testing distribution (wheezy) and unstable distribution (sid),
this problem has been fixed in version 4:3.3.9.2-1.
We recommend that you upgrade your phpmyadmin packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/
Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.10 (GNU/Linux)
iQEcBAEBAgAGBQJNXBLYAAoJEOxfUAG2iX57PAUH/3WO+oTC931ZOM8yJAjF5iOL
aQk5VVYYmtzvLSR/eevGSb2WgTiWFtPCO1fUP7dJk9YdxpxmtgiIE54QEwOxveUt
wcNkXkytK4n7gC+y/8jqgviorbFQf5qUD2akDQ8kWMM5whwJCQOVuwk8Fn7qWP4l
8NmqeR0HVYdR3LGa+yG545EuO3kLYp2vka10s9ZicACH4r/lMDglWTpAfzSci0gR
u4acRHgNLHIfjO5Lqac45vUkkDoOwrNWbLRWmuq3nsNIWHOBOGECmJdgttEpLU9E
aUSD2IzBBh78vSFLwds4V0lHnca3ABv2yFymsRP0mAEsxezNsWqPxT5E7cHQlEI=
=luQx
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNXRt6AAoJEJtyb8U7iGZBmiMH/1pCeUaMq+9i67WmDYCCGgvO
mdWDSr/e3IyZGLOStG6qQLRT98OW5gbn5pkFwLUtk0GI3/px6sVdC3SlpCSYoghj
EAnbgV++EOGQ67N5U8Zhr394qhCOr19e+SNVfqHl11Q+QToyAEHnI6N/7i8ZunrT
y4z5y7wKX4B7NeZMVDNd6sgiNNE9S/rQYeRN5OC7XCKoXG3j4LvQIUD+eIfhWqf0
e1zFs9Na0Ja6I99wBxIpJA1s/k3J14FDShQDvGgFUi6YDKFA2MJPtWXuuSV1SzY/
h/fLi+WG9LOjjqgLwA+W239kwh/ax1188f09gd1Q4YK/sKtwwa3YeKaQuFFzqJs=
=/2tf
—–END PGP SIGNATURE—–
