Avisos 12 de July, 2011

Actualització crítica phpMyAdmin

L’equip de desenvolupament de l’aplicació phpMyAdmin proporciona una nova versió per descarregar. Aquesta última versió té la finalitat de solucionar diverses vulnerabilitats que permeten a un atacant remot extreure informació interna i comprometre el sistema.

Recursos afectats:

- Software afectat:
 
• phpMyAdmin 3.4.x < 3.4.3.1
• phpMyAdmin 3.3.x < 3.3.10.2


Impacte:

Fuita d’informació interna i compromís del sistema.


Solució:

Actualitzar a les últimes versions de phpMyAdmin:
• 3.3.10.2
• 3.4.3.1


Detall:

Les vulnerabilitats reportades poden ser executades per un atacant des de remot, la seva explotació permetrien extreure informació interna i comprometre un sistema vulnerable.
 
Llistat de les vulnerabilitats que es solucionen amb aquesta última actualització :
 
CVE-2011-2505: Possibilitat de modificar la variable de sessió global de PHP.
CVE-2011-2506: Injecció de codi PHP mitjançant una variable de configuració, vulnerabilitat associada amb l’anterior vulnerabilitat.
CVE-2011-2507: Injecció de codi PHP mitjançant la utilització d’un Byte Nul a través d’un possible bug de PHP en la funció PREG_REPLACE.
CVE-2011-2508: Falla a la validació d’entrada en el codi de transformació MIME que permet realitzar un salt de directori.
 
 
 
 
 
 



Refs:

https://secunia.com/advisories/45139

http://www.phpmyadmin.net/home_page/security/PMASA-2011-5.php

http://www.phpmyadmin.net/home_page/security/PMASA-2011-6.php

http://www.phpmyadmin.net/home_page/security/PMASA-2011-7.php

http://www.phpmyadmin.net/home_page/security/PMASA-2011-8.php

Publicat a: Avisos