Разработчики phpMyAdmin объявили о выпуске версии 3.4.4 и 3.3.10.4 для их продукции с открытым исходным кодом, предназначенной для администрирования баз данных. Как следует из описания, эти обновления закрывают уязвимости (CVE-2011-3181), существовавшые в функции отслеживания (Tracking feature). Она давала потенциальному злоумышленнику возможность выполнить произвольный HTML код и код сценария в браузере жертвы в конектсте безопасности уязвимого сайта.
Брешь в безопасности обнаружил исследователь Норман Хипперт (Norman Hippert). Согласно его заявлению, уязвимость существовала из-за неправильной обработки входных данных, передаваемых в качестве имен таблиц, колонок и индексов. Также исследователь добавил, что для того чтобы атака была успешной злоумышленник должен быть авторизован в приложении. Уязвимость существует в phpMyAdmin от версии 3.3.0 до 3.4.3.2. Разработчики признали серьезность проблемы и уже выпустили исправление безопасности в версии 3.4.4 и 3.3.10.4, в качестве альтернативы пользователи могут использовать патчи.
Более подробное описание уязвимости доступно по адресу: www.securitylab.ru/vulnerability/407011.php
www.securitylab.ru
Опубликовано
26.08.2011 19:02 и размещено в рубрике Безопасность.
Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения.
Комментирование закрыто.
публикации сходной тематики