Announcement-ID: PMASA-2008-6
Дата: 2008-07-28
Сводка: Cross-site Framing; XSS в setup.php.
Описание:
Устранена уязвимость, которая позволяла отображать фреймы phpMyAdmin внутри другой страницы, что предоставляло возможности фишинга, либо других обманных действий. Сейчас для того, чтобы разрешить подобное поведение, необходимо в конфигурационном файле config.inc.php установить для переменной AllowThirdPartyFraming значение true. Кроме этого, существовала возможность XSS уязвимости для тех, кто мог перезаписать config/config.inc.php до тех пор, пока конфиг находился в данной директории.
Серьезность:
Разработчики полагают, что эта уязвимость серьезная. См. предупреждение безопасности от YGN
Затронутые версии:
Данной уязвимости подвержены вероятно все версии phpMyAdmin до 2.11.8
Решение:
Обновить phpMyAdmin до версии 2.11.8 или новее.
Дополнительная информация:
http://yehg.net/lab/pr0js/advisories/Cross-Site_Framing_inphpMyAdmin2.11.7.pdf
http://yehg.net/lab/pr0js/advisories/XSS_inPhpMyAdmin2.11.7.pdf