2009年10月25日

[debian-users:53237] [Translate] [SECURITY] [DSA 1918-1] New phpmyadmin packages fix severalvulnerabilities

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1918-1 security@xxxxx
http://www.debian.org/security/ Thijs Kinkhorst

October 25, 2009 http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package : phpmyadmin
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE Id(s) : CVE-2009-3696 CVE-2009-3697
Debian Bug : 552194

MySQL をウェブインターフェースで管理するツール phpMyAdmin に、リモート
から攻撃可能な複数の問題が発見されました。The Common Vulnerabilities
and Exposures project は以下の問題を認識しています。

CVE-2009-3696

クロスサイトスクリプティング攻撃により、リモートの攻撃者が、細工され
た MySQL テーブル名をつかって任意のウェブスクリプトや HTML を挿入可能
な欠陥があります。

CVE-2009-3697

PDF スキーマジェネレータ機能に SQL インジェクション脆弱性があり、リモ
ートの攻撃者が任意の SQL コマンドを実行可能です。この問題は Debian
4.0 Etch には存在しません。

更に、追加の要塞化がウェブベースの setup.php スクリプトに加えられていま
す。添付のウェブサーバ設定はこのスクリプトが保護されていることを保証し
ていますが、現場では必ずしもその設定が守られていないことが判明したため
です。config.inc.php ファイルは webserver ユーザから書き込めないよう変
更されました。詳細は README.Debian を見て、必要ならば setup.php スクリ
プトを有効化してください。


旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は
バージョン 2.9.1.1-13 で修正されています。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー
ジョン 2.11.8.1-5+lenny3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 3.2.2.1-1 で修正されています。

直ぐに phpmyadmin パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 4.0 alias etch
- -------------------------------

ソースアーカイブ:

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.dsc
Size/MD5 checksum: 1021 0a8c412c5481b2260562ab5649c70d8b

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
Size/MD5 checksum: 3500563 f598509b308bf96aee836eb2338f523c
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.diff.gz
Size/MD5 checksum: 57060 68fc6b7269343482b96326553dd1e0c0

アーキテクチャに依存しないパッケージ:

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13_all.deb
Size/MD5 checksum: 3605314 85eaa36525db64fdd0ba9955c9def399

Debian GNU/Linux 5.0 alias lenny
- --------------------------------

ソースアーカイブ:


http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
Size/MD5 checksum: 2870014 075301d16404c2d7d58216efc14f7a50

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
Size/MD5 checksum: 63773 a3c38a698e954534517a81570e9fc9fa

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.dsc
Size/MD5 checksum: 1547 db7c29dbd8ad5758ea8283ebbde9c611

アーキテクチャに依存しないパッケージ:


http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3_all.deb
Size/MD5 checksum: 2883628 da6a70575f8ae6608910a1c5aaf81f1c


これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@xxxxx
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<;pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2009年10月25日 23:34
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/89723
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。