English

◀◁ 뒤로 취약점ID 21742 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 phpMyAdmin 프로그램은 'grab_globals.lib.php' 스크립트에 있는 로컬 파일 포함(Include) 취약점에 취약하다. phpMyAdmin는 웹을 통해 MySQL를 관리하려는 목적의 PHP로 제작된 툴이다. 현재 이 툴은 데이터베이스의 생성과 삭제, 테이블의 생성/삭제/변경, 필드의 삭제/편집/추가, 임의의 SQL 문의 실행, 필드상의 키 관리 기능 등을 제공한다. phpMyAdmin 버전 2.6.4-pl1과 그 이전의 버전들은 './libraries/grab_globals.lib.php' 스크립트의 'usesubform' 인수로 건네진 사용자가 제공한 입력에 대한 부적절한 필터링으로 인하여 원격지의 공격자가 웹 root의 외부에 있는 파일을 볼 수 있게 해 줄 수 있다. "dot dot" 시퀀스들(/../)을 포함하는 잘 조작된 URL을 보냄으로써, 원격지의 공격자는 웹 서비스의 권한을 가지고 웹 root 디렉토리의 외부에 있는 임의의 파일들을 읽어 낼 수 있다. * 참고 사이트: http://securityreason.com/achievement_securityalert/24 http://archives.neohapsis.com/archives/fulldisclosure/2005-10/0225.html * 영향을 받는 플랫폼: Tobias Ratschiller, phpMyAdmin 2.6.4-pl1과 그 이전의 버전들 모든 운영체제 모든 버전 해결책 phpMyAdmin의 다운로드 웹 페이지인 http://www.phpmyadmin.net/home_page/downloads.php 에서 최신버전의 phpMyAdmin으로 업그레이드 하여야 한다. 관련 URL CVE-2005-3299 (CVE) 관련 URL 15053 (SecurityFocus) 관련 URL 22558 (ISS)