[Fedora] Schwachstelle in phpMyAdmin – FEDORA-2010-14501

[Fedora] Schwachstelle in phpMyAdmin - FEDORA-2010-14501

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-3263 – Cross-site Scripting Schwachstelle in phpMyAdmin

Das Setup-Script von phpMyAdmin enthaelt einen Fehler beim Parsen eines
Servernamens, aufgrund dessen Sonderzeichen nicht aus diesem entfernt
werden. Ein Angreifer kann diese Schwachstelle ausnutzen, um beliebige
Script-Befehle in die Anwendung einzuschleusen und im Kontext des
Browsers des Benutzers auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket phpMyAdmin

Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Jan Kohlrausch (CSIRT), Phone +49 40 808077-555

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

CarmentiS – Early Warning Expertise
https://www.carmentis.org

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-14501
2010-09-11 03:30:17
– ——————————————————————————–

Name : phpMyAdmin
Product : Fedora 14
Version : 3.3.7
Release : 1.fc14
URL : http://www.phpmyadmin.net/
Summary : Web based MySQL browser written in php
Description :
phpMyAdmin is a tool written in PHP intended to handle the administration of
MySQL over the Web. Currently it can create and drop databases,
create/drop/alter tables, delete/edit/add fields, execute any SQL statement,
manage keys on fields, manage privileges, export data into various formats and
is available in over 55 languages.

– ——————————————————————————–
Update Information:

Changes for 3.3.7.0 (2010-09-07) – [PDF scratchboard] Cannot drag table box
to the edge after a page size increase, thanks to Martin Schoenberger – mad05 –
[core] Fixed displaying number of rows – [parser] Fixed wrong definition of
keywords – [setup] Fixed escaping of server name (XSS, PMASA-2010-7)
– ——————————————————————————–
References:

[ 1 ] Bug #631824 – phpMyAdmin (x < v3.3.7): XSS in setup script (PMASA-2010-7) https://bugzilla.redhat.com/show_bug.cgi?id=631824
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update phpMyAdmin’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkyOOO4ACgkQWmhIvjFb90WoLACdG31zt8StOzMNbQFpFFrGLXV3
LZ4AnjoDxNiF5TdgTk5rN+Pi7u2S2wWK
=lJHQ
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben