Debian DLA-626-1：phpmyadmin 安全更新

critical Nessus 插件 ID 93566

语言：

简介

远程 Debian 主机缺少安全更新。

描述

MySQL 的 Web 管理工具 Phpmyadmin 已报告多个漏洞。

CVE-2016-6606

发现两个会影响 cookie 存储方式的漏洞。

用户名/密码解密容易受到 padding oracle 攻击。这可允许能够访问用户浏览器 cookie 文件的攻击者解密用户名与密码。

发现一个漏洞，其中使用了相同的初始化矢量哈希存储在 phpMyAdmin cookie 中的用户名和密码。如果用户所用的密码与用户名相同，则检查浏览器 cookie 的攻击者即可看到其为相同 — 但由于 cookie 仍受哈希处理，因此无法直接从 cookie 解密这些值。

CVE-2016-6607

复制功能中的跨站脚本漏洞

CVE-2016-6609

特别构建的数据库名称可用来通过数组导出功能运行任意 PHP 命令。

CVE-2016-6611

特别构建的数据库和/或表名称可用来通过 SQL 导出功能触发 SQL 注入攻击。

CVE-2016-6612

用户可利用 LOAD LOCAL INFILE 功能来将服务器上的文件泄露给数据库系统。

CVE-2016-6613

用户可在在磁盘上特别构建一个符号链接，其针对 phpMyAdmin 可读取但用户无法读取的文件，而随后 phpMyAdmin 会将该文件泄露给用户。

CVE-2016-6614

据报告有一个 SaveDir 与 UploadDir 功能的 %u 用户名替换功能的漏洞。配置替代用户名时，可使用特别构建的用户名来避开遍历文件系统的限制。

CVE-2016-6620

据报告有一个漏洞，使一些数据未经验证为有效的序列化数据，即传递到 PHP unserialize() 函数。由于 PHP 函数的运作方式，反序列化操作因对象实例化和自动加载，而导致加载并执行代码，恶意用户可能利用此漏洞。
因此，恶意用户能够以利用此漏洞的方式操控存储的数据。

CVE-2016-6622

未经认证的用户可通过在 $cfg['AllowArbitraryServer']=true; 的情况下运行 phpMyAdmin 时强制持续连接，来执行拒绝服务攻击。

CVE-2016-6623

恶意的授权用户可通过将大值传送给循环来对服务器造成拒绝服务攻击。

CVE-2016-6624

发现有一个漏洞在某些情况下可能会避开 phpMyAdmin 基于 IP 的认证规则。当 phpMyAdmin 在代理服务器环境中与 IPv6 搭配使用，且代理服务器处于允许的范围内，但不允许存在攻击性计算机时，此漏洞可允许攻击性计算机进行连接，而不管 IP 规则如何。

CVE-2016-6630

经认证的用户可通过在变更密码对话框中输入非常长的密码来触发拒绝服务攻击。

CVE-2016-6631

发现有一个漏洞允许用户在 phpMyAdmin 作为 CGI 应用程序运行时，对服务器执行远程代码执行攻击。在某些服务器配置下，用户可传递由 shell 脚本作为命令行参数执行的查询字符串。

对于 Debian 7“Wheezy”，这些问题已在 3.4.11.1-2+deb7u6 版本中修复。

建议您升级 phpmyadmin 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。