--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 880-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
2 de noviembre de 2005 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Paquete : phpmyadmin
Vulnerabilidad : varias
Ámbito : remoto
Sólo en Debian : no
Id. de CVE : CVE-2005-2869 CVE-2005-3300 CVE-2005-3301
Id. de BugTraq : 15169
Error Debian : 328501 335306 335513
Se han descubierto varias vulnerabilidades de guiones a través del sitio
en phpmyadmin, un juego de guiones en PHP para administrar MySQL mediante
WWW. El proyecto Common Vulnerabilities and Exposures identifica los
siguientes problemas:
CAN-2005-2869
Andreas Kerber y Michal Cihar descubrieron varias vulnerabilidades de
guiones a través del sitio en la página de error y en el registro de la
cookie.
CVE-2005-3300
Stefan Esser descubrió un olvido en las comprobaciones de seguridad en
grab_globals.php, que podía permitir que un atacante indujese a
phpmyadmin a incluir un archivo local arbitrario.
CVE-2005-3301
Tobias Klein descubrió varias vulnerabilidades de guiones a través del
sitio, que podía permitir que los atacantes inyectasen código HTML
arbitrario o guiones del lado del cliente.
La versión de la distribución estable anterior (woody) probablemente
tenga sus propias debilidades y no es tan fácil de corregir sin una
auditoría completa y una sesión de parcheo. La mejor opción es
actualizar de woody a sarge.
Para la distribución estable (sarge), estos problemas se han corregido en
la versión 2.6.2-3sarge1.
Para la distribución inestable (sid), estos problemas se han corregido en
la versión 2.6.4-pl3-1.
Le recomendamos que actualice el paquete phpmyadmin.
Instrucciones de actualización
------------------------------
wget url
obtiene el archivo.
dpkg -i archivo.deb
instala el archivo indicado.
Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final del aviso:
apt-get update
actualiza la base de datos interna
apt-get upgrade
instala los paquetes corregidos
Puede usar una actualización automatizada, añadiendo los
recursos del final del aviso para la configuración adecuada.
Debian GNU/Linux 3.1 alias sarge
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.dsc
Tamaño y suma MD5: 604 bae6eb2d34ffb43fe84be9086aa140cd
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1.diff.gz
Tamaño y suma MD5: 35138 bcf942cced4b77c6ea237032134b7285
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
Tamaño y suma MD5: 2654418 05e33121984824c43d94450af3edf267
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge1_all.deb
Tamaño y suma MD5: 2768208 7dddcca1746dfd9c2493fcbb82d7b882
Estos archivos probablemente se pasen a la distribución estable en
su próxima revisión.
---------------------------------------------------------------------
Para apt-get:
deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
debian-security-announce@lists.debian.org
Información del paquete:
'apt-cache show <paquete>' y http://packages.debian.org/<paquete>
--
Juan Manuel Garcia Molina
Debian GNU/Linux Developer
juanma@debian.org http://www.debian.org
Attachment:
pgpkxkRcnuckv.pgp
Description: PGP signature