openSUSE セキュリティ更新:phpMyAdmin(openSUSE-2016-1027)
critical Nessus プラグイン ID 93214
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
phpMyAdmin 4.4.15.8 バージョンへのこの更新により、以下の問題が修正されます:修正されたセキュリティの課題:
- openid.php と signon.php のサンプルファイルのセッションクッキーコードを向上します
- openid.php と signon.php のサンプルファイルのフルパス漏洩
- BlowfishSecret の安全でない生成(ユーザーが提供しない場合)
- phpinfo が有効な場合のリファラ漏洩
- wiki リンクの HTTPS を使用します
- SSL 証明書処理を向上します
- コードのデバッグにおけるフルパス漏洩を修正します
- 管理者が SQL インジェクション攻撃をユーザーに対して引き起こす可能性があります
- クッキー暗号化にある弱点 PMASA-2016-29 を参照(CVE-2016-6606、CWE-661)
- 複数の XSS 脆弱性 PMASA-2016-30 を参照(CVE-2016-6607、CWE-661)
- 複数の XSS 脆弱性 PMASA-2016-31 を参照(CVE-2016-6608、CWE-661)
- PHP コード注入 PMASA-2016-32 を参照(CVE-2016-6609、CWE-661)
- フルパス漏洩 PMASA-2016-33 を参照(CVE-2016-6610、CWE-661)
- SQL インジェクション攻撃 PMASA-2016-34 を参照(CVE-2016-6611、CWE-661)
- LOAD DATA LOCAL INFILE を通じたローカルファイル漏洩 PMASA-2016-35 を参照(CVE-2016-6612、CWE-661)
- UploadDir のあるシンボリックリンクを通じたローカルファイル漏洩 PMASA-2016-36 を参照(CVE-2016-6613、CWE-661)
- SaveDir と UploadDir のパストラバーサル PMASA-2016-37 を参照(CVE-2016-6614、CWE-661)
- 複数の XSS 脆弱性 PMASA-2016-38 を参照(CVE-2016-6615、CWE-661)
- コントロールユーザーとしての SQL インジェクション脆弱性 PMASA-2016-39 を参照(CVE-2016-6616、CWE-661)
- SQL インジェクション脆弱性 PMASA-2016-40 を参照(CVE-2016-6617、CWE-661)
- 変換機能を通じた DoS 攻撃(サービス拒否攻撃) PMASA-2016-41 を参照(CVE-2016-6618、CWE-661)
- コントロールユーザーとしての SQL インジェクション脆弱性 PMASA-2016-42 を参照(CVE-2016-6619、CWE-661)
- シリアル化解除前のデータ検証 PMASA-2016-43 を参照(CVE-2016-6620、CWE-661)
- セットアップスクリプトの SSRF PMASA-2016-44 を参照(CVE-2016-6621、CWE-661)
- $cfg['AllowArbitraryServer'] = true による DoS 攻撃(サービス拒否攻撃)および永続的接続 PMASA-2016-45 を参照(CVE-2016-6622、CWE-661)
- ループのために使用することによる DoS 攻撃(サービス拒否攻撃) PMASA-2016-46 を参照(CVE-2016-6623、CWE-661)
- IPv6 とプロキシサーバーによる IP ベースの許可/拒絶ルールの潜在的回避 PMASA-2016-47 を参照(CVE-2016-6624、CWE-661)
- ユーザーがログインしている際に検出 PMASA-2016-48 を参照(CVE-2016-6625、CWE-661)
- URL リダイレクト保護をバイパス PMASA-2016-49 を参照(CVE-2016-6626、CWE-661)
- リファラ漏洩 PMASA-2016-50 を参照(CVE-2016-6627、CWE-661)
- ファイルのダウンロードを反映 PMASA-2016-51 を参照(CVE-2016-6628、CWE-661)
- ArbitraryServerRegexp バイパス PMASA-2016-52 を参照(CVE-2016-6629、CWE-661)
- 長いパスワードを入力することによる DoS 攻撃(サービス拒否攻撃) PMASA-2016-53 を参照(CVE-2016-6630、CWE-661)
- CGI として実行される際のリモートコードの実行の脆弱性 PMASA-2016-54 を参照(CVE-2016-6631、CWE-661)
- PHP が dbase 拡張を使用する際の DoS 攻撃(サービス拒否攻撃) PMASA-2016-55 を参照(CVE-2016-6632、CWE-661)
- PHP が dbase 拡張を使用する際に tode 実行の脆弱性を削除 PMASA-2016-56 を参照(CVE-2016-6633、CWE-661)
ソリューション
影響を受ける phpMyAdmin パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 93214
ファイル名: openSUSE-2016-1027.nasl
バージョン: 2.6
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2016/8/30
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:phpmyadmin, cpe:/o:novell:opensuse:13.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2016/8/29
参照情報
CVE: CVE-2016-6606, CVE-2016-6607, CVE-2016-6608, CVE-2016-6609, CVE-2016-6610, CVE-2016-6611, CVE-2016-6612, CVE-2016-6613, CVE-2016-6614, CVE-2016-6615, CVE-2016-6616, CVE-2016-6617, CVE-2016-6618, CVE-2016-6619, CVE-2016-6620, CVE-2016-6621, CVE-2016-6622, CVE-2016-6623, CVE-2016-6624, CVE-2016-6625, CVE-2016-6626, CVE-2016-6627, CVE-2016-6628, CVE-2016-6629, CVE-2016-6630, CVE-2016-6631, CVE-2016-6632, CVE-2016-6633