phpMyAdmin setup.php跨站脚本执行漏洞

CNNVD-ID编号	CNNVD-200710-228	CVE编号	CVE-2007-5386
发布时间	2007-10-12	更新时间	2007-10-15
漏洞类型	跨站脚本	漏洞来源	N/A
危险等级	中危	威胁类型	远程
厂商	phpmyadmin

漏洞介绍

phpMyAdmin是用PHP编写的工具，用于通过WEB管理MySQL。

phpMyAdmin的setup.php文件没有正确地验证某些用户输入参数，允许远程攻击者通过提交恶意的URI请求执行跨站脚本攻击。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Debian已经为此发布了一个安全公告(DSA-1403-1)以及相应补丁:

DSA-1403-1：New phpmyadmin packages fix cross-site scripting

链接：

http://www.debian.org/security/2007/dsa-1403

补丁下载：

Source archives:

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge6.dsc

Size/MD5 checksum:896 6f8e63669094450f8450a808deacff73

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge6.diff.gz

Size/MD5 checksum:42524 14903fdbe6383e4fa6934e4b955851ec

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2.orig.tar.gz

Size/MD5 checksum:2654418 05e33121984824c43d94450af3edf267

Architecture independent components:

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.6.2-3sarge6_all.deb

Size/MD5 checksum:2770320 b1cfa31fcc29881a78269f38de1387c6

Debian GNU/Linux 4.0 alias etch

Source archives:

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-6.dsc

Size/MD5 checksum: 1011 130531a7ffe3fd67421985abc0d7e3c1

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-6.diff.gz

Size/MD5 checksum:49749 0ea3fc9730fb32d1587e0757d3fbee25

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz

Size/MD5 checksum:3500563 f598509b308bf96aee836eb2338f523c

Architecture independent components:

http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-6_all.deb

Size/MD5 checksum:3606276 be23322772089af7b429c01b65fe1469

补丁安装方法：

1. 手工安装补丁包：

首先，使用下面的命令来下载补丁软件：

# wget url(url是补丁下载链接地址)

然后，使用下面的命令来安装补丁：

# dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

首先，使用下面的命令更新内部数据库：

# apt-get update

然后，使用下面的命令安装更新软件包：

# apt-get upgrade

phpMyAdmin

http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin/branches/MAINT_2_11_1/phpMyAdmin/scripts/setup.php?r1=10637&r2=10748&view=patch

参考网址

来源: FEDORA

名称: FEDORA-2007-2738

链接：https://www.redhat.com/archives/fedora-package-announce/2007-November/msg00040.html
来源: sourceforge.net

链接：https://sourceforge.net/tracker/index.php?func=detail&aid=1810629&group_id=23067&atid=377408
来源: bugzilla.redhat.com

链接：https://bugzilla.redhat.com/show_bug.cgi?id=333661
来源: XF

名称: phpmyadmin-setup-xss(37077)

链接：http://xforce.iss.net/xforce/xfdb/37077
来源: BID

名称: 26020

链接：http://www.securityfocus.com/bid/26020
来源: BUGTRAQ

名称: 20071015 about phpMyAdmin setup.php XSS vulnerability

链接：http://www.securityfocus.com/archive/1/archive/1/482339/100/0/threaded
来源: www.phpmyadmin.net

链接：http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2007-5
来源: MANDRIVA

名称: MDKSA-2007:199

链接：http://www.mandriva.com/security/advisories?name=MDKSA-2007:199
来源: VUPEN

名称: ADV-2007-3469

链接：http://www.frsirt.com/english/advisories/2007/3469
来源: MISC

链接：http://www.digitrustgroup.com/advisories/TDG-advisory071009a
来源: DEBIAN

名称: DSA-1403

链接：http://www.debian.org/security/2007/dsa-1403
来源: SECUNIA

名称: 27595

链接：http://secunia.com/advisories/27595
来源: SECUNIA

名称: 27506

链接：http://secunia.com/advisories/27506
来源: SECUNIA

名称: 27173

链接：http://secunia.com/advisories/27173
来源: phpmyadmin.svn.sourceforge.net

链接：http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin/trunk/?view=log
来源: phpmyadmin.svn.sourceforge.net

链接：http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin/branches/MAINT_2_11_1/phpMyAdmin/ChangeLog?r1=10748&r2=10747&pathrev=10748

受影响实体

Phpmyadmin Phpmyadmin:2.11.1

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200710-228

phpMyAdmin setup.php跨站脚本执行漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

查询漏洞

相关漏洞

支持服务

云学院

合作与生态

phpMyAdmin setup.php跨站脚本执行漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

查询漏洞

相关漏洞