[漏洞公告]phpMyAdmin多个HTTP响应拆分漏洞
|
受影响系统:
phpMyAdmin phpMyAdmin 2.7.0-pl2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 21421
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。
phpMyAdmin的多个脚本存在HTTP响应拆分漏洞,允许攻击者更改HTTP响应头结构,导致破坏Web缓存、劫持页面或执行跨站脚本。
问题存在于phpMyAdmin的以下文件中:
/css/phpmyadmin.css.php
/db_create.php
/index.php
/left.php
/libraries/session.inc.php
/libraries/transformations/overview.php
/querywindow.php
/server_engines.php
<*来源:ajann (ajannhwt@hotmail.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=116525907308643&w=2
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
phpMyAdmin
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpmyadmin.net/ |
