GLSA-201707-03:phpMyAdmin:セキュリティバイパス
medium Nessus プラグイン ID 101334
Language:
概要
リモートのGentooホストに1つ以上のセキュリティ関連のパッチがありません。説明
リモートホストは、GLSA-201707-03(phpMyAdmin:セキュリティバイパス)で説明されている脆弱性に影響されています。特定のPHPのバージョンで、“$cfg[‘Servers’][$i][‘AllowNoPassword’] = false”による制限がバイパスされる脆弱性が発見されました。これにより、管理者が「$cfg[‘Servers’][$i][‘AllowNoPassword’]」を falseに設定(デフォルト)していたとしても、パスワードが設定されていないユーザーアカウントの侵害につながる可能性があります。この動作は、使用されているPHPのバージョンに依存します(PHP 5は影響を受けているようですが、PHP 7.0は影響を受けていないようです)。影響:リモートの攻撃者(ユーザー名のみを知っていればよい)が、セキュリティ制限をバイパスしてphpMyAdminにアクセスする可能性があります。回避策:すべてのユーザーのパスワードを設定します。ソリューション
phpMyAdmin 4.0.xの全ユーザーは、最新バージョンへアップグレードする必要があります。 # emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/phpmyadmin-4.0.10.20:4.0.10.20' 他の全てのphpMyAdminのユーザーは、最新バージョンへアップグレードする必要があります。 # emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/phpmyadmin-4.7.0:4.7.0'参考資料
プラグインの詳細
深刻度: Medium
ID: 101334
ファイル名: gentoo_GLSA-201707-03.nasl
バージョン: 3.2
タイプ: local
ファミリー: Gentoo Local Security Checks
公開日: 2017/7/10
更新日: 2021/1/11
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:gentoo:linux:phpmyadmin, cpe:/o:gentoo:linux
必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
パッチ公開日: 2017/7/8
参照情報
GLSA: 201707-03