GLSA-201201-01:phpMyAdmin:複数の脆弱性

critical Nessus プラグイン ID 57433
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストは、GLSA-201201-01 で説明されている脆弱性の影響を受けます(phpMyAdmin:複数の脆弱性)

phpMyAdmin に複数の脆弱性が発見されました。詳細については、以下に参照されている CVE 識別子および phpMyAdmin セキュリティアドバイザリを参照してください。
影響:

リモートの攻撃者が、多様なベクトルを介して、PHP コードを挿入して実行したり、ローカルの PHP ファイルをインクルードして実行したり、クロスサイトスクリプティング(XSS)攻撃を実行したりする可能性があります。
回避策:

現時点で、既知の回避策はありません。

ソリューション

phpMyAdmin の全ユーザーは、最新バージョンへアップグレードする必要があります:
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/phpmyadmin-3.4.9'

関連情報

https://www.phpmyadmin.net/security/PMASA-2010-1/

https://www.phpmyadmin.net/security/PMASA-2010-2/

https://www.phpmyadmin.net/security/PMASA-2010-4/

https://www.phpmyadmin.net/security/PMASA-2010-5/

https://www.phpmyadmin.net/security/PMASA-2010-6/

https://www.phpmyadmin.net/security/PMASA-2010-7/

https://www.phpmyadmin.net/security/PMASA-2011-1/

https://www.phpmyadmin.net/security/PMASA-2011-10/

https://www.phpmyadmin.net/security/PMASA-2011-11/

https://www.phpmyadmin.net/security/PMASA-2011-12/

https://www.phpmyadmin.net/security/PMASA-2011-15/

https://www.phpmyadmin.net/security/PMASA-2011-16/

https://www.phpmyadmin.net/security/PMASA-2011-17/

https://www.phpmyadmin.net/security/PMASA-2011-18/

https://www.phpmyadmin.net/security/PMASA-2011-19/

https://www.phpmyadmin.net/security/PMASA-2011-2/

https://www.phpmyadmin.net/security/PMASA-2011-20/

https://www.phpmyadmin.net/security/PMASA-2011-5/

https://www.phpmyadmin.net/security/PMASA-2011-6/

https://www.phpmyadmin.net/security/PMASA-2011-7/

https://www.phpmyadmin.net/security/PMASA-2011-8/

https://www.phpmyadmin.net/security/PMASA-2011-9/

https://security.gentoo.org/glsa/201201-01

https://www.tenable.com/security/research/tra-2010-02

プラグインの詳細

深刻度: Critical

ID: 57433

ファイル名: gentoo_GLSA-201201-01.nasl

バージョン: 1.17

タイプ: local

公開日: 2012/1/5

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.8

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:POC/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:gentoo:linux:phpmyadmin, cpe:/o:gentoo:linux

必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/1/4

脆弱性公開日: 2010/1/19

エクスプロイト可能

Elliot (Phpmyadmin 3.x RCE)

参照情報

CVE: CVE-2008-7251, CVE-2008-7252, CVE-2010-2958, CVE-2010-3055, CVE-2010-3056, CVE-2010-3263, CVE-2011-0986, CVE-2011-0987, CVE-2011-2505, CVE-2011-2506, CVE-2011-2507, CVE-2011-2508, CVE-2011-2642, CVE-2011-2643, CVE-2011-2718, CVE-2011-2719, CVE-2011-3646, CVE-2011-4064, CVE-2011-4107, CVE-2011-4634, CVE-2011-4780, CVE-2011-4782

BID: 37826, 42584, 42591, 42874, 46359, 48563, 48874, 50175, 50497, 51099, 51166, 51226

GLSA: 201201-01

TRA: TRA-2010-02