Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/07/2011
phpMyAdmin cierra fallos críticos
Los desarrolladores de phpMyAdmin han lanzado una nueva versión de su herramienta de administración de bases de datos, que cierra un total de 4 fallos de seguridad.Los fallos encontrados y corregidos son altamente críticos, ya que las vulnerabilidades incluyen un fallo de manipulación de sesión en la autenticación Swekey, que puede ser utilizado para sobreescribir variables de sesión, una posible inyección de código en el script de instalación, y un problema en el entrecomillado de expresiones regulares en el código Synchronize.
Según los desarrolladores, las vulnerabilidades anteriores pueden provocar la inyección y ejecución de código arbitrario. Las versiones 3.4.3 y anteriores se ven afectadas, mientras que las versiones de la rama 2.11.x no se ven afectadas.
Otro fallo, esta vez de directorio transversal, relacionado con el filtrado de una ruta de fichero en el código de transformación de tipos MIME, también ha sido cerrado.
phpMyAdmin versiones anteriores a 3.3.10.2 y 3.4.3.1
Referencias:CVE-2011-2505 , CVE-2011-2506 , CVE-2011-2507 , CVE-2011-2508
Solución:Se aconseja a los usuarios actualizar su software a la última versión, o aplicar los parches correspondientes. Todos ellos se pueden descargar desde aquí.
Notas:http://www.phpmyadmin.net/home_page/security/PMASA-2011-5.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-6.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-7.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-8.php
http://secunia.com/advisories/45139/