phpMyAdmin по-русски
   О проекте  |  Скачать  |  Документация  |  Форум
  
Главная страница / Новости / phpMyAdmin /

Уведомление безопасности phpMyAdmin №4 2009

уведомление безопасности phpMyAdmin
Announcement-ID: PMASA-2009-4
Дата: 2009-04-14

Сводка:
Недостаточная проверка выходных данных при создании конфигурационного файла.

Описание:
Скрипт установки используемый для создания конфигурационного файла может быть спровоцирован на вставку ложного POST запроса для включения произвольного кода внутрь конфигурационного файла. Сочетается с возможностью сохранения файлов на сервер, что может позволить неавторизованному пользователю произвольный PHP-код. Данная уязвимость касается других параметров, отличных от задействуемых в предыдущем (PMASA-2009-3) исправлении, и пропущенных по причине отсутствовия уязвимости в ветке 2.11.x.

Серьезность:
Разработчики полагают, что эта уязвимость серьёзная.

Затронутые версии:
2.11.x версии phpMyAdmin не затронуты
3.0.x версии phpMyAdmin до 3.1.3.2.

Решение:
Обновить phpMyAdmin до версии 3.1.3.2 или новее.

Патчи:
Revision 12342 и Revision 12348 применимы ко всем веткам.
Опубликовано: 2009-04-17