FreeBSD: phpMyAdmin -- ファイル漏洩とSQLインジェクション(111aefca-2213-11e9-9c8d-6805ca0b3d42)
high Nessus プラグイン ID 121403
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
phpMyAdmin 開発チームによる報告:サマリー 任意のファイルの読み取り脆弱性 説明 AllowArbitraryServerの構成がtrueに設定され、ローグMySQLサーバーを使用しているとき、攻撃者はWebサーバーのユーザーがアクセスできるサーバーのすべてのファイルを読み取ることが可能です。phpMyadminがLOAD DATA INFILEの使用のブロックを試みていますが、PHPのバグのため、このチェックは遵守されません。さらに、「mysql」拡張を使用するとき、mysql.allow_local_infileがデフォルトで有効になります。
これらの状況のいずれでも、攻撃が発生する可能性があります。重要度 弊社は、この脆弱性は重要度最高であると考えています。緩和要因 この攻撃は「AllowArbitraryServer」の構成ディレクティブをfalse(デフォルト値)に設定することにより緩和できます。
影響を受けるバージョン 少なくともphpMyAdminのバージョン4.0から4.8.4までが影響を受けます サマリー Designer機能のSQLインジェクション 説明 特別に細工されたユーザー名が、Designer機能を通じてSQLインジェクション攻撃を引き起こすのに使用される可能性があるという脆弱性が報告されました。
重要度 弊社は、この脆弱性は深刻であると考えています。影響を受けるバージョン phpMyAdminのバージョン4.5.0から4.8.4までが影響を受けます
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://www.phpmyadmin.net/security/PMASA-2019-1/
プラグインの詳細
深刻度: High
ID: 121403
ファイル名: freebsd_pkg_111aefca221311e99c8d6805ca0b3d42.nasl
バージョン: 1.1
タイプ: local
公開日: 2019/1/28
更新日: 2019/1/28
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:phpmyadmin, p-cpe:/a:freebsd:freebsd:phpmyadmin-php56, p-cpe:/a:freebsd:freebsd:phpmyadmin-php70, p-cpe:/a:freebsd:freebsd:phpmyadmin-php71, p-cpe:/a:freebsd:freebsd:phpmyadmin-php72, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2019/1/27
脆弱性公開日: 2019/1/21