wheezy の phpmyadmin で見つかって修正されたさまざまなセキュリティ問題。CVE-2016-4412 / PMASA-2016-57 : ユーザーが騙されて、phpMyAdmin へのリンクをたどり、認証後に別の悪意のあるサイトにリダイレクトされる可能性があります。CVE-2016-6626 / PMASA-2016-49 : PMASA-2016-57 の修正で、 十分なチェックが行われなかったため、ホワイトリストをバイパスされる可能性がありました。CVE-2016-9849 / PMASA-2016-60 : Null Byte を使用したユーザー名拒否ルールのバイパス (AllowRoot よびその他)。CVE-2016-9850 / PMASA-2016-61 : 一致するユーザー名の許可/拒否ルールが原因で、一定ではない実行時間のためにルールで誤った一致とユーザー名が検出される場合があります。CVE-2016-9861 / PMASA-2016-66 : PMASA-2016-49 の修正で、 バグが多いチェックのため、ホワイトリストをバイパスされる可能性がありました。CVE-2016-9864 / PMASA-2016-69 : 複数の SQL インジェクションの脆弱性。CVE-2016-9865 / PMASA-2016-70 : シリアル化された文字列解析のバグにより、PMA_safeUnserialize() 関数によって提供される保護がバイパスされる可能性がありました。Debian 7 'Wheezy' では、これらの問題はバージョン 4:3.4.11.1-2+deb7u7 で修正されています。お使いの phpmyadmin パッケージをアップグレードすることを推奨します。注 : Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

検出

Debian DLA-757-1 : phpmyadmin セキュリティ更新

critical Nessus プラグイン ID 96093

バージョン 3.6