发布日期:2011-12-16
更新日期:2011-12-19
受影响系统:
phpMyAdmin phpMyAdmin 3.4.x
不受影响系统:
phpMyAdmin phpMyAdmin 3.4.8
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 51099
CVE ID: CVE-2011-4634
phpMyAdmin是一个用PHP编写的,可以通过web方式控制和操作MySQL数据库。
phpMyAdmin 3.4.8之前版本在实现上存在多个跨站脚本执行漏洞,远程攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意脚本代码,窃取Cookie身份验证凭证。
使用特制的数据库名称,可能会在数据库同步和数据库重命名面板中执行XSS。使用无效的和特制的SQL查询,在表格全览面板上编辑查询时造成XSS或在使用创建视图对话框时执行XSS。使用特制的列类型,可能在表格搜索或创建索引对话框时执行XSS。
<*来源:David Vieira-Kurz
链接:https://bugzilla.redhat.com/show_bug.cgi?id=767666
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: