russian/lts/security/2016/dla-406.wml


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>В коде CSRF-аутентификации phpMyAdmin было обнаружено несколько
уязвимостей.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2039">CVE-2016-2039</a>

    <p>Токен XSRF/CSRF создаётся при помощи слабого алгоритма, используя
    функции, которые не возвращают криптографически безопасных значений.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2041">CVE-2016-2041</a>

    <p>Сравнение параметра токена XSRF/CSRF со значением, сохранённым в
    сессии, уязвимо к атакам по таймингу. Более того, сравнение
    можно обойти в случае, если токен XSRF/CSRF совпадает с
    определённым шаблоном.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-406.data"
# $Id$