Danilo, Me atentei para um outro detalhe que possa ser o motivo do portaudit não ter mostrado o pacote vulnerável. Estou desconfiado de case sensitive. O pacote instalado do ports é esse:
phpMyAdmin-3.4.3.1 A set of PHP-scripts to manage MySQL over the web Mas no xml tá como phpmyadmin todo em minúsculo. Se o portaudit for case sensitive então não vai achar a falha. Reparei que no xml existem outras vulnerabilidades do phpMyAdmin escritos certos. Em 25/07/2011 16:36, Marcelo Gondim escreveu: > Opa Danilo, > > Saiu na bugtraq mais uma falha do phpmyadmin sugerindo atualização, vou > aguardar pra ver se sai na VuXML e aí vou testar novamente com o > portaudit. :) > > Valeu pelas informações, serão muito importantes aqui para eu checar e > comparar. > > Grande abraço > > Em 25/07/2011 15:26, Danilo Baio escreveu: >> 2011/7/25 Marcelo Gondim<[email protected]> >> >>> Olá povo :) >>> >>> Um tempo atrás saiu uma vulnerabilidade do phpmyadmin< 3.4.3.1 aí >>> fiquei observando e o mesmo saiu na listagem: >>> >>> http://www.vuxml.org/freebsd/7e4e5c53-a56c-11e0-b180-00216aa06fc2.html >>> >>> Mas, contudo, todavia, porém :) o mesmo não aparecia no comando: >>> portaudit -Fda e eu estava com a versão 3.4.3 instalada via ports e que >>> era vulnerável. Alguém sabe dizer se o portaudit não está mais sendo >>> atualizado? Agora consulto FreeBSD VuXML que parece estar bem mais >>> atualizada que usando o portaudit. >>> >>> >>> >> Opa, >> >> O portaudit usa o VUXML Freebsd [1] >> que tem por base isso "/usr/ports/security/vuxml/vuln.xml" >> >> o comando portaudit -F pega o auditfile em [2], >> gerado pelo portaudit-db (packaudit), se não me engano é gerado de 30 em 30 >> minutos. >> >> Se não foi informado o pacote vulnerável primeiro é legal verificar o >> repositório, se foi atualizado: >> >> #CREATED: 2011-07-25 18:10:00 >> # Created by packaudit 0.2.3 >> >> também é bom verificar se o download do auditfile não está passando por >> nenhum cache. >> >> em último caso pode ser até um erro da entrada vuxml. >> >> mas seria legal informar a versão certinha que estava o phpmyadmin instalado >> mais a versão do auditfile. >> >> A propósito, também é possível gerar o seu auditfile com o portaudit-db. >> >> []'s >> >> >> [1] http://www.vuxml.org/freebsd/ >> [2] http://portaudit.FreeBSD.org/auditfile.tbz >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
