Обновления закрывают уязвимость CVE-2011-3181, существовавшую в функции отслеживания.
Разработчики phpMyAdmin объявили о выпуске версии 3.4.4 и 3.3.10.4 для их продукции с открытым исходным кодом, предназначенной для администрирования баз данных. Как следует из описания, эти обновления закрывают уязвимости (CVE-2011-3181), существовавшые в функции отслеживания (Tracking feature). Она давала потенциальному злоумышленнику возможность выполнить произвольный HTML код и код сценария в браузере жертвы в конектсте безопасности уязвимого сайта.
Брешь в безопасности обнаружил исследователь Норман Хипперт (Norman Hippert). Согласно его заявлению, уязвимость существовала из-за неправильной обработки входных данных, передаваемых в качестве имен таблиц, колонок и индексов. Также исследователь добавил, что для того чтобы атака была успешной злоумышленник должен быть авторизован в приложении. Уязвимость существует в phpMyAdmin от версии 3.3.0 до 3.4.3.2. Разработчики признали серьезность проблемы и уже выпустили исправление безопасности в версии 3.4.4 и 3.3.10.4, в качестве альтернативы пользователи могут использовать патчи.
Более подробное описание уязвимости доступно по адресу: http://www.securitylab.ru/vulnerability/407011.php
Живой, мертвый или в суперпозиции? Узнайте в нашем канале