English

◀◁ 뒤로 취약점ID 22097 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 웹서버에 있는 phpMyAdmin에는 입력 타당성 체크에 문제가 있어 사용자들이 원격으로 실행시(runtime)에 PHP 인터프리터에 의해 임의의 파일들을 포함하여 로드될 수 있도록 해 준다. phpMyAdmin는 PHP로 작성된 MySQL을 위한 사용하기 쉬운 웹기반의 관리 인터페이스이다. 이 툴은 여러 권의 PHP 관련 서적의 집필가이자 PHP 동호회의 유명한 멤버인 Tobias Ratschiller에 의해 만들어 졌다. phpMyAdmin은 대부분의 MySQL 관리 업무들을 아주 쉽게 할 수 있게 해 놓아 매우 인기가 좋고 광범위하게 사용되고 있다 (순위 매김 사이트들은 실제로 PHP 만큼이나 인기 있음을 보여준다). phpMyAdmin은 보안에 취약한 PHP 함수 include()로의 호출들을 사용하고 있다. 이로 인해 공식판 2.1.0 이상에서 비공식판인 2.2.0pre5 이하의 버전들은 Attacker가 웹서버 사용자의 권한 (대개는 'nobody') 으로 웹서버 상의 임의의 명령들을 원격으로 수행시킬 수 있게 해 주거나 데이타베이스 신용정보를 얻을 수 있는 설정 파일들을 읽어갈 수 있게 해 준다. 'Advanced Authentication' 을 설정하는 것으로도 이 공격을 막지는 못한다. * 참고 사이트: http://www.securityfocus.com/bid/2642 http://sourceforge.net/project/showfiles.php?group_id=23067 해결책 phpMyAdmin의 개발은 기관이나 단체에 소속되지 않고 아직 공인되지 않은 개발자 그룹에 의해 계속적으로 이루어 지고 있다. 이 그룹에 의해 이번 문제점에 대한 Fix를 포함하는 새로운 버전이 릴리즈 될 것이다. 그 버전은 다음 사이트로 부터 (2.2.0pre5) 로 업그레이드 할 수 있다: http://www.phpmyadmin.net/home_page/downloads.php 관련 URL CVE-2001-0478 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)