phpMyAdmin по-русски
   О проекте  |  Скачать  |  Документация  |  Форум
  
    Рубрики новостей
    Обсуждения на форуме:
    Отдел подписки:
Главная страница / Новости / phpMyAdmin /

Уведомление безопасности phpMyAdmin №6 2008

уведомление безопасности phpMyAdmin
Announcement-ID: PMASA-2008-6
Дата: 2008-07-28

Сводка: Cross-site Framing; XSS в setup.php.

Описание:
Устранена уязвимость, которая позволяла отображать фреймы phpMyAdmin внутри другой страницы, что предоставляло возможности фишинга, либо других обманных действий. Сейчас для того, чтобы разрешить подобное поведение, необходимо в конфигурационном файле config.inc.php установить для переменной AllowThirdPartyFraming значение true. Кроме этого, существовала возможность XSS уязвимости для тех, кто мог перезаписать config/config.inc.php до тех пор, пока конфиг находился в данной директории.

Серьезность:
Разработчики полагают, что эта уязвимость серьезная. См. предупреждение безопасности от YGN

Затронутые версии:
Данной уязвимости подвержены вероятно все версии phpMyAdmin до 2.11.8

Решение:
Обновить phpMyAdmin до версии 2.11.8 или новее.

Дополнительная информация:
http://yehg.net/lab/pr0js/advisories/Cross-Site_Framing_inphpMyAdmin2.11.7.pdf
http://yehg.net/lab/pr0js/advisories/XSS_inPhpMyAdmin2.11.7.pdf
Опубликовано: 2008-07-29