[CentOS-pt-br] PHPMyadmin com vulnerabilidades
Marcelo Subtil Marcal
marcelo em smarcal.com
Segunda Janeiro 17 04:56:58 EST 2011
Olá Marcelo,
Só mais uma atualização.
Fiz o teste que você enviou e aponta o erro tanto na versão 2.11.11.1 quanto
na versão 3.3.9. Não testei com a 3.4.0-beta2.
[]'s
*Marcelo Subtil Marçal*
marcelo em smarcal.com
[image: Twitter] <http://twitter.com/msmarcal>[image:
Google]<http://www.google.com/profiles/msmarcal>[image:
Linkedin] <http://www.linkedin.com/in/msmarcal>[image:
Last.fm]<http://www.last.fm/user/msmarcal>[image:
Orkut] <http://www.orkut.com.br/Profile.aspx?uid=11425061924826698897>[image:
Facebook] <http://www.facebook.com/msmarcal>[image:
Youtube]<http://www.youtube.com/user/msmarcal>[image:
Blog RSS] <http://blog.smarcal.com/feed/>
On Mon, Jan 17, 2011 at 7:21 AM, Marcelo Subtil Marcal
<marcelo em smarcal.com>wrote:
> Olá Marcelo,
>
> Encontrei o pacote phpMyAdmin-3.3.9 apenas no repositório REMI, mas com
> dependências do php-5.2.0.
>
> Caso interesse em configurar esse repositório:
>
> # rpm -Uvh
> http://rpms.famillecollet.com/el5.i386/remi-release-5-8.el5.remi.noarch.rpm
>
> []'s
>
> *Marcelo Subtil Marçal*
>
> marcelo em smarcal.com
> [image: Twitter] <http://twitter.com/msmarcal>[image: Google]<http://www.google.com/profiles/msmarcal>[image:
> Linkedin] <http://www.linkedin.com/in/msmarcal>[image: Last.fm]<http://www.last.fm/user/msmarcal>[image:
> Orkut] <http://www.orkut.com.br/Profile.aspx?uid=11425061924826698897>[image:
> Facebook] <http://www.facebook.com/msmarcal>[image: Youtube]<http://www.youtube.com/user/msmarcal>[image:
> Blog RSS] <http://blog.smarcal.com/feed/>
>
>
>
> On Sun, Jan 16, 2011 at 4:58 PM, Marcelo Gondim <gondim em linuxinfo.com.br>wrote:
>
>> Olá pessoal,
>>
>> O PHPMyAdmin nas versões que vi tanto do rpmforge quanto do EPEL estão
>> vulneráveis à esses problemas:
>>
>> CVE-2010-4329
>>
>> Cross site scripting was possible in search, that allowed
>> a remote attacker to inject arbitrary web script or HTML.
>>
>> CVE-2010-4480
>>
>> Cross site scripting was possible in errors, that allowed
>> a remote attacker to inject arbitrary web script or HTML.
>>
>> CVE-2010-4481
>>
>> Display of PHP's phpinfo() function was available to world, but only
>> if this functionality had been enabled (defaults to off). This may
>> leak some information about the host system.
>>
>> Um exemplo de como testar:
>>
>>
>> http://127.0.0.1/phpmyadmin/error.php?type=This+is+a+client+side+hole+evidence&error=Client+side+attack+via+characters+injection[br]It%27s+possible+use+some+special+tags+too[br]Found+by+Tiger+Security+Tiger+Team+-+[a%40http://www.tigersecurity.it%40_self]This%20Is%20a%20Link[%2Fa]
>>
>>
>> Alguém conhece algum outro repo que tenha uma versão mais atual do
>> phpmyadmin ou pelo menos já corrigido? Estou evitando de instalar dos
>> fontes, mas se não tiver outra opção vou usar do site oficial mesmo.
>>
>> []'s à todos
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20110117/1e7c0763/attachment.html
Mais detalhes sobre a lista de discussão CentOS-pt-br