| 취약점ID |
210124 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
phpMyAdmin의 버전 정보에 따르면 해당 패키지에는 다수의 취약점을 가지고 있다. phpMyAdmin는 웹을 통해 MySQL를 관리하려는 목적의 PHP로 제작된 툴이다.
원격 호스트의 phpMyAdmin의 버전은 3.3.10.1 이전의 3.3.x버전이나 3.4.1 이전의 3.4.x 버전이다.
- 'tbl_links.php'와 'tbl_tracking' 스크립트는 'table'과 'db' 파라미터의 입력을 필터링하는데 실패한다.
공격자는 사용자의 브라우저에 임의의 HTML과 스트립트 코드를 주입하여 이 문제를 이용할 수 있다.
영향을 받는 응용 프로그램의 보안 컨텍스트 내에서 실행 될 수 있고, 그 결과 세션 쿠키의 가로채기나 사용자 계정 손상이 발생한다. (Issue #2011-03)
- 3.4.1 이전의 3.4.x 버전은 'url.php'스크립트에서 정의된 위치로 리다이렉팅하기 전에 'url' 파라미터의 입력값 검증에 실패한다. (Issue #2011-04)
* 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 phpMyAdmin 소프트웨어의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다.
* 참고 사이트:
http://www.phpmyadmin.net/home_page/security/PMASA-2011-3.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-4.php
* 영향을 받는 플랫폼:
phpMyAdmin 3.4.1 이전의 버전들이나 3.3.10.1 이전의 버전들
모든 운영체제 모든 버전 |
| 해결책 |
다음 phpMyAdmin 다운로드 웹 페이지에서 구할 수 있는 phpMyAdmin의 가장 최신 버전(3.4.1/3.3.10.1 혹은 이후)으로 업그레이드 하여야 한다:
http://www.phpmyadmin.net/home_page/downloads.php |
| 관련 URL |
CVE-2011-1940,CVE-2011-1941 (CVE) |
| 관련 URL |
47945,47943 (SecurityFocus) |
| 관련 URL |
(ISS) |
|
