GLSA 200410-14: phpMyAdmin: Vulnerability in MIME-based transformation system

http://security.gentoo.org/

Опасность:	высокая
Заголовок:	phpMyAdmin: Vulnerability in MIME-based transformation system
Дата:	18.10.2004
Ошибки:	#67409
ID:	200410-14

Сводка

A vulnerability has been found in the MIME-based transformation system of phpMyAdmin, which may allow remote execution of arbitrary commands if PHP's "safe mode" is disabled.

Назначение

phpMyAdmin is a popular web-based MySQL administration tool written in PHP. It allows users to browse and administer a MySQL database from a web-browser. Transformations are a phpMyAdmin feature allowing plug-ins to rewrite the contents of any column seen in phpMyAdmin's Browsing mode, including using insertion of PHP or JavaScript code.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
dev-db/phpmyadmin	< 2.6.0_p2	>= 2.6.0_p2	All supported architectures

Описание

A defect was found in phpMyAdmin's MIME-based transformation system, when used with "external" transformations.

Воздействие

A remote attacker could exploit this vulnerability to execute arbitrary commands on the server with the rights of the HTTP server user.

Обход

Enabling PHP safe mode ("safe_mode = On" in php.ini) may serve as a temporary workaround.

Решение

All phpMyAdmin users should upgrade to the latest version:

    # emerge sync
    
    # emerge -pv ">=dev-db/phpmyadmin-2.6.0_p2"
    # emerge ">=dev-db/phpmyadmin-2.6.0_p2"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200410-14.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.