Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/07/2011
phpMyAdmin tanca fallades crítiques
Els desenvolupadors de phpMyAdmin han llançat una nova versió de la seua eina d'administració de bases de dades, que tanca per un total de 4 fallades de seguretat.Les fallades trobades i corregides són altament crítiques, ja que les vulnerabilitats inclouen un fallada de manipulació de sessió en l'autenticació Swekey, que pot ser utilitzada per a sobreescriure variables de sessió, una possible injecció de codi en el script d'instal·lació, i un problema en l'entrecomillat d'expressions regulars en el codi Synchronize.
Segons els desenvolupadors, les vulnerabilitats anteriors poden provocar la injecció i execució de codi arbitrari. Les versions 3.4.3 i anteriors es veuen afectades, mentre que les versions de la branca 2.11.X no es veuen afectades.
Un altra fallada, aquesta vegada de directori transversal, relacionat amb el filtrat d'una ruta de fitxer en el codi de transformació de tipus MALCRIE, també ha estat tancat.
La phpMyAdmin, versions anteriors a 3.3.10.2 i 3.4.3.1
Referències:CVE-2011-2505 , CVE-2011-2506 , CVE-2011-2507 , CVE-2011-2508
Solució:S'aconsella als usuaris actualitzar el seu programari a l'última versió, o aplicar els pedaços corresponents. Tots ells es poden descarregar des d'ací.
Notes:http://www.phpmyadmin.net/home_page/security/PMASA-2011-5.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-6.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-7.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-8.php
http://secunia.com/advisories/45139/