GLSA 201707-03: phpMyAdmin: Security bypass

http://security.gentoo.org/

Опасность:	средняя
Заголовок:	phpMyAdmin: Security bypass
Дата:	08.07.2017
Ошибки:	#614522
ID:	201707-03

Сводка

A vulnerability in phpMyAdmin might allow remote attackers to bypass authentication.

Назначение

phpMyAdmin is a web-based management tool for MySQL databases.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
dev-db/phpmyadmin	< 4.0.10.20	>= 4.0.10.20	All supported architectures

Описание

A vulnerability was discovered where the restrictions caused by “$cfg[‘Servers’][$i][‘AllowNoPassword’] = false” are bypassed under certain PHP versions. This can lead compromised user accounts, who have no passwords set, even if the administrator has set “$cfg[‘Servers’][$i][‘AllowNoPassword’]” to false (which is the default).

This behavior depends on the PHP version used (it seems PHP 5 is affected, while PHP 7.0 is not).

Воздействие

A remote attacker, who only needs to know the username, could bypass security restrictions and access phpMyAdmin.

Обход

Set a password for all users.

Решение

All phpMyAdmin 4.0.x users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose
      ">=dev-db/phpmyadmin-4.0.10.20:4.0.10.20"

All other phpMyAdmin users should upgrade to the latest version:


      # emerge --sync
      # emerge --ask --oneshot --verbose ">=dev-db/phpmyadmin-4.7.0:4.7.0"

Ссылки

PMASA-2017-8

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201707-03.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.