English

◀◁ 뒤로 취약점ID 21491 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 phpMyAdmin 소프트웨어는 다중의 로컬 파일 포함 취약점들에 취약하다. phpMyAdmin는 웹을 통해 MySQL를 관리하려는 목적의 PHP로 제작된 툴이다. 현재 이 툴은 데이터베이스의 생성과 삭제, 테이블의 생성/삭제/변경, 필드의 삭제/편집/추가, 임의의 SQL 문의 실행, 필드상의 키 관리 기능 등을 제공한다. phpMyAdmin 2.6.1 이하의 버전들은 PHP 'include()', 'require()', 'require-once()', 혹은 유사항 함수 호출에 있서 사용자 제공 입력값을 사용하기 전에 적절하게 필터링하지 않는 어플리케이션 상의 오류로 인하여, 원격지의 공격자가 임의의 파일들을 Include할 수 있게 해 준다. 특히, "phpmyadmin.css.php"에 있는 "GLOBALS[cfg][ThemePath]" 인수와 "database_interface.lib.php"에 있는 "cfg[Server][extension]" 인수로 건네진 입력값은 파일들을 Include 하는데 사용되기 전에 적절하게 검증되지 않는다. 이는 로컬 자원들로부터 임의의 파일들을 Include하거나 웹 서버 프로세스의 권한으로 영향을 받는 컴퓨터 상에 존재하는 임의의 서버측 스크립트 코드를 실행시키는 데 도용될 수 있다. 성공적으로 도용하기 위해서는 "register_globals"이 사용함으로, "magic_quotes_gpc"이 사용 안함으로 되어 있어야 한다. * 참고 사이트: http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2005-1 http://secunia.com/advisories/14382/ * 영향을 받는 플랫폼: Tobias Ratschiller, phpMyAdmin 2.6.1 이하의 버전들 모든 운영체제 모든 버전 해결책 phpMyAdmin의 다운로드 웹 페이지인 http://www.phpmyadmin.net/home_page/downloads.php 에서 phpMyAdmin의 가장 최신 버전(2.6.1-pl1 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2005-0544,CVE-2005-0567 (CVE) 관련 URL 12645 (SecurityFocus) 관련 URL 19465 (ISS)