1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
|
<define-tag description>Mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Mehrere entfernt ausnutzbare Verwundbarkeiten wurden in phpMyAdmin, einem
Programm zum Verwalten von MySQL über das Netz, entdeckt. Das <q>Common
Vulnerabilities and Exposures</q>-Projekt identifiziert die folgenden
Probleme:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-1325">CVE-2007-1325</a>
<p>Die Funktion PMA_ArrayWalkRecursive in libraries/common.lib.php
schränkt die Rekursionen auf vom Nutzer angegebene Felder nicht ein,
was inhaltsabhängigen Angreifern ermöglicht, eine Diensteverweigerung
(<q>denial of service</q>) (Absturz des Web-Servers) mittels einem Feld
mit vielen Dimensionen auszulösen.</p>
<p>Dies Problem betrifft nur die Stable-Distribution (Etch).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-1395">CVE-2007-1395</a>
<p>Eine unvollständige Blacklist-Verwundbarkeit in index.php ermöglicht
entfernten Angreifern die Durchführung Site-übergreifender
Skripting-Angriffe (XSS) durch Einschleusung beliebigen
JavaScript- oder HTML-Codes in (1) einen <q>db</q>- oder
(2) <q>table</q>-Parameterwert, gefolgt von einer
</SCRIPT>-Ende-Markierung in Großbuchstaben, was den Schutz
gegen das kleingeschriebene </script> umgeht.</p>
<p>Dies Problem betrifft nur die Stable-Distribution (Etch).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-2245">CVE-2007-2245</a>
<p>Mehrere Site-übergreifende Skripting-Verwundbarkeiten (XSS) ermöglichen
entfernten Angreifern, beliebigen Web-Skript- oder HTML-Code mittels
(1) dem <q>fieldkey</q>-Parameter einzuschleusen zum Durchstöbern von
browse_foreigners.php oder (2) durch bestimmte Eingaben an die Funktion
PMA_sanitize.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-6942">CVE-2006-6942</a>
<p>Mehrere Site-übergreifende Skripting-Verwundbarkeiten (XSS) ermöglichen
entfernten Angreifern, beliebigen HTML- oder Web-Skript-Code mittels
(1) einem Kommentar für einen Tabellennamen, wie durch (a)
db_operations.php ausgenutzt, (2) den <q>db</q>-Parameter zu
(b) db_create.php, (3) den <q>newname</q>-Parameter zu db_operations.php,
(4) den <q>query_history_latest</q>-, (5) <q>query_history_latest_db</q>
und (6) <q>querydisplay_tab</q>-Parametern zu (c) querywindow.php und
(7) den <q>pos</q>-Parameter zu (d) sql.php einzuschleusen.</p>
<p>Dies Problem betrifft nur die alte Stable-Distribution (Sarge).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-6944">CVE-2006-6944</a>
<p>phpMyAdmin ermöglicht entfernten Angreifern die Umgehung der
Allow/Deny-Zugriffsregeln, die IP-Adressen mittels falscher Header
verwenden.</p>
<p>Dies Problem betrifft nur die alte Stable-Distribution (Sarge).</p></li>
</ul>
<p>Für die alte Stable-Distribution (Sarge) wurden diese Probleme in Version
2.6.2-3sarge5 behoben.</p>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
2.9.1.1-4 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
2.10.1-1 behoben.</p>
<p>Wir empfehlen Ihnen, Ihre phpmyadmin-Pakete zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1370.data"
# $Id$
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
|
