-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 880-1 security@debian.org http://www.debian.org/security/ Martin Schulze 2 de noviembre de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : phpmyadmin Vulnerabilidad : varias Ámbito : remoto Sólo en Debian : no Id. de CVE : CVE-2005-2869 CVE-2005-3300 CVE-2005-3301 Id. de BugTraq : 15169 Error Debian : 328501 335306 335513 Se han descubierto varias vulnerabilidades de guiones a través del sitio en phpmyadmin, un juego de guiones en PHP para administrar MySQL mediante WWW. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas: CAN-2005-2869 Andreas Kerber y Michal Cihar descubrieron varias vulnerabilidades de guiones a través del sitio en la página de error y en el registro de la cookie. CVE-2005-3300 Stefan Esser descubrió un olvido en las comprobaciones de seguridad en grab_globals.php, que podía permitir que un atacante indujese a phpmyadmin a incluir un archivo local arbitrario. CVE-2005-3301 Tobias Klein descubrió varias vulnerabilidades de guiones a través del sitio, que podía permitir que los atacantes inyectasen código HTML arbitrario o guiones del lado del cliente. La versión de la distribución estable anterior (woody) probablemente tenga sus propias debilidades y no es tan fácil de corregir sin una auditoría completa y una sesión de parcheo. La mejor opción es actualizar de woody a sarge. Para la distribución estable (sarge), estos problemas se han corregido en la versión 2.6.2-3sarge1. Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.6.4-pl3-1. Le recomendamos que actualice el paquete phpmyadmin. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final del aviso: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del final del aviso para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.dsc Tamaño y suma MD5: 604 bae6eb2d34ffb43fe84be9086aa140cd http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.diff.gz Tamaño y suma MD5: 35138 bcf942cced4b77c6ea237032134b7285 http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz Tamaño y suma MD5: 2654418 05e33121984824c43d94450af3edf267 Componentes independientes de la arquitectura: http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1_all.deb Tamaño y suma MD5: 2768208 7dddcca1746dfd9c2493fcbb82d7b882 Estos archivos probablemente se pasen a la distribución estable en su próxima revisión. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Información del paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpkxkRcnuckv.pgp
Description: PGP signature