CNNVD-ID编号 | CNNVD-200710-228 |
CVE编号 | CVE-2007-5386 |
发布时间 | 2007-10-12 |
更新时间 | 2007-10-15 |
漏洞类型 | 跨站脚本 |
漏洞来源 | N/A |
危险等级 | 中危 |
威胁类型 | 远程 |
厂 商 | phpmyadmin |
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。
phpMyAdmin的setup.php文件没有正确地验证某些用户输入参数,允许远程攻击者通过提交恶意的URI请求执行跨站脚本攻击。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Debian已经为此发布了一个安全公告(DSA-1403-1)以及相应补丁:
DSA-1403-1:New phpmyadmin packages fix cross-site scripting
链接:
http://www.debian.org/security/2007/dsa-1403
补丁下载:
Source archives:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge6.dsc
Size/MD5 checksum:896 6f8e63669094450f8450a808deacff73
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge6.diff.gz
Size/MD5 checksum:42524 14903fdbe6383e4fa6934e4b955851ec
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz
Size/MD5 checksum:2654418 05e33121984824c43d94450af3edf267
Architecture independent components:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge6_all.deb
Size/MD5 checksum:2770320 b1cfa31fcc29881a78269f38de1387c6
Debian GNU/Linux 4.0 alias etch
Source archives:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-6.dsc
Size/MD5 checksum: 1011 130531a7ffe3fd67421985abc0d7e3c1
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-6.diff.gz
Size/MD5 checksum:49749 0ea3fc9730fb32d1587e0757d3fbee25
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
Size/MD5 checksum:3500563 f598509b308bf96aee836eb2338f523c
Architecture independent components:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-6_all.deb
Size/MD5 checksum:3606276 be23322772089af7b429c01b65fe1469
补丁安装方法:
1. 手工安装补丁包:
首先,使用下面的命令来下载补丁软件:
# wget url(url是补丁下载链接地址)
然后,使用下面的命令来安装补丁:
# dpkg -i file.deb (file是相应的补丁名)
2. 使用apt-get自动安装补丁包:
首先,使用下面的命令更新内部数据库:
# apt-get update
然后,使用下面的命令安装更新软件包:
# apt-get upgrade
phpMyAdmin
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin/branches/MAINT_2_11_1/phpMyAdmin/scripts/setup.php?r1=10637&r2=10748&view=patch
来源: FEDORA
名称: FEDORA-2007-2738
链接:https://www.redhat.com/archives/fedora-package-announce/2007-November/msg00040.html
来源: sourceforge.net
链接:https://sourceforge.net/tracker/index.php?func=detail&aid=1810629&group_id=23067&atid=377408
来源: bugzilla.redhat.com
来源: XF
名称: phpmyadmin-setup-xss(37077)
来源: BID
名称: 26020
来源: BUGTRAQ
名称: 20071015 about phpMyAdmin setup.php XSS vulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/482339/100/0/threaded
来源: www.phpmyadmin.net
链接:http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2007-5
来源: MANDRIVA
名称: MDKSA-2007:199
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2007:199
来源: VUPEN
名称: ADV-2007-3469
来源: MISC
链接:http://www.digitrustgroup.com/advisories/TDG-advisory071009a
来源: DEBIAN
名称: DSA-1403
来源: SECUNIA
名称: 27595
来源: SECUNIA
名称: 27506
来源: SECUNIA
名称: 27173
来源: phpmyadmin.svn.sourceforge.net
链接:http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin/trunk/?view=log
来源: phpmyadmin.svn.sourceforge.net