Butlletins de seguretat per a phpMyAdmin
S’han publicat noves versions de phpMyAdmin que esmenen errors de cross-site scripting (XSS) i salt de restriccions, qualificades de no crítiques al ser necessari estar autenticat per a explotar-les.
Risc: Mitjà
PhpMyAdmin és una popular ferramenta, escrita en PHP, per a l’administració de MySQL a través d’un navegador. Este programari permet crear, modificar i eliminar bases de dades, taules, camps, administrar privilegis i, en general, executar qualsevol sentència SQL. A més està disponible en més de 50 idiomes davall llicència GPL.
Tres vulnerabilitats de Cross-site scripting. Amb CVE-2014-4954, una fallada al mostrar la pàgina de l’estructura de la base de dades localitzada en la funció 'PMA_getHtmlForActionLinks' del fitxer 'libraries/structure.lib.php'. Afecta 4.2.x.
Amb CVE-2014-4955, una fallada al mostrar la pàgina de disparadors localitzada en la funció 'PMA_TRI_getRowForList' del fitxer 'libraries/rte/rte_list.lib.php.lib.php'. Afecta 4.0.x, 4.1.x i 4.2.x. I amb CVE-2014-4986, múltiples errors en la construcció de missatges de confirmació AJAX en 'js/functions.js'. Afecta 4.0.x, 4.1.x i 4.2.x.
Finalment, un salt de restriccions (CVE-2014-4987) per un error en 'server_user_groups.php' que permetria botar restriccions de seguretat i llegir la llista d’usuaris MySQL Afecta 4.1.x i 4.2.x.
Sistemes Afectats: PhpMyAdmin versions 4.0.x, 4.1.x y 4.2.x.
Referències: CVE-2014-4954, CVE-2014-4955, CVE-2014-4986, CVE-2014-4987
Solució:Les vulnerabilitats s’han solucionat en les versions 4.0.10.1, 4.1.14.2 i 4.2.6.
Notes: Hispasec una-al-dia
PMASA-2014-4
PMASA-2014-5
PMASA-2014-6
PMASA-2014-7