[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:53237] [Translate] [SECURITY] [DSA 1918-1] New phpmyadmin packages fix several vulnerabilities
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1918-1 security@debian.org
http://www.debian.org/security/ Thijs Kinkhorst
October 25, 2009 http://www.debian.org/security/faq
- ------------------------------------------------------------------------
Package : phpmyadmin
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE Id(s) : CVE-2009-3696 CVE-2009-3697
Debian Bug : 552194
MySQL をウェブインターフェースで管理するツール phpMyAdmin に、リモート
から攻撃可能な複数の問題が発見されました。The Common Vulnerabilities
and Exposures project は以下の問題を認識しています。
CVE-2009-3696
クロスサイトスクリプティング攻撃により、リモートの攻撃者が、細工され
た MySQL テーブル名をつかって任意のウェブスクリプトや HTML を挿入可能
な欠陥があります。
CVE-2009-3697
PDF スキーマジェネレータ機能に SQL インジェクション脆弱性があり、リモ
ートの攻撃者が任意の SQL コマンドを実行可能です。この問題は Debian
4.0 Etch には存在しません。
更に、追加の要塞化がウェブベースの setup.php スクリプトに加えられていま
す。添付のウェブサーバ設定はこのスクリプトが保護されていることを保証し
ていますが、現場では必ずしもその設定が守られていないことが判明したため
です。config.inc.php ファイルは webserver ユーザから書き込めないよう変
更されました。詳細は README.Debian を見て、必要ならば setup.php スクリ
プトを有効化してください。
旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は
バージョン 2.9.1.1-13 で修正されています。
安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー
ジョン 2.11.8.1-5+lenny3 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 3.2.2.1-1 で修正されています。
直ぐに phpmyadmin パッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 4.0 alias etch
- -------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.dsc
Size/MD5 checksum: 1021 0a8c412c5481b2260562ab5649c70d8b
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
Size/MD5 checksum: 3500563 f598509b308bf96aee836eb2338f523c
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.diff.gz
Size/MD5 checksum: 57060 68fc6b7269343482b96326553dd1e0c0
アーキテクチャに依存しないパッケージ:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13_all.deb
Size/MD5 checksum: 3605314 85eaa36525db64fdd0ba9955c9def399
Debian GNU/Linux 5.0 alias lenny
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
Size/MD5 checksum: 2870014 075301d16404c2d7d58216efc14f7a50
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
Size/MD5 checksum: 63773 a3c38a698e954534517a81570e9fc9fa
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.dsc
Size/MD5 checksum: 1547 db7c29dbd8ad5758ea8283ebbde9c611
アーキテクチャに依存しないパッケージ:
http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3_all.deb
Size/MD5 checksum: 2883628 da6a70575f8ae6608910a1c5aaf81f1c
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------