Die Fedora-Entwickler haben ein Sicherheits-Update für phpLDAPadmin ausgegeben

Die beiden Sicherheitslücken in phpLDAPadmin sind als hoch kritisch eingestuft und lassen sich für Cross Site Scripting oder im schlimmsten Fall unerlaubte Systemzugriffe ausnutzen. Eingaben in die Datei cmd.php werden nicht ausreichend überprüft, bevor diese an den Anwender zurückgegeben werden. Somit könnte sich beliebiger HTML- oder Script-Code in der Browser-Sitzung eines Anwenders ausführen lassen. Dies gilt nur, wenn cmd auf _debug gesetzt ist.

Eingaben in den orderby-Parameter in die Datei cmd.php werden nicht ausreichend geprüft, bevor diese an die Datei /lib/functions.php übergeben werden. Somit könnten Angreifer unter Umständen beliebigen PHP-Code ausführen.

Die Schwachstellen sind für Version 1.2.11 bestätigt. Andere Versionen könnten ebenfalls betroffen sein. Fedora hat ein Update für Version 14 ausgegeben. Sie können die Aktualisierung mittels yum update phpldapadmin einspielen: lists.fedoraproject.org (jdo)