martes, 22 de julio de 2014

Boletines de seguridad para phpMyAdmin

Se han publicado nuevas versiones de phpMyAdmin que subsanan errores de cross-site scripting (XSS) y salto de restricciones, calificadas de no críticas al ser necesario estar autenticado para explotarlas.

PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.

Tres vulnerabilidades de Cross-site scripting. Con CVE-2014-4954, un fallo al mostrar la página de la estructura de la base de datos localizado en la función 'PMA_getHtmlForActionLinks' del fichero 'libraries/structure.lib.php'. Afecta a 4.2.x.

Con CVE-2014-4955, un fallo al mostrar la página de triggers localizado en la función 'PMA_TRI_getRowForList' del fichero 'libraries/rte/rte_list.lib.php'. Afecta a 4.0.x, 4.1.x y 4.2.x. Y conCVE-2014-4986, múltiples errores en la construcción de mensajes de confirmación AJAX en 'js/functions.js'. Afecta a 4.0.x, 4.1.x y 4.2.x.

Por último, un salto derestricciones (CVE-2014-4987) por un error en 'server_user_groups.php' que permitiría saltar restricciones de seguridad y leer la lista de usuarios MySQL Afecta a 4.1.x y 4.2.x.

Las vulnerabilidades se han solucionado en las versiones 4.0.10.1, 4.1.14.2 y 4.2.6.

Más información:

PMASA-2014-4

PMASA-2014-5

PMASA-2014-6

PMASA-2014-7


Fernando Castillo

No hay comentarios:

Publicar un comentario en la entrada