维信联合科技
phpMyAdmin配置文件PHP代码注入漏洞
2009-04-17
受影响系统:
phpMyAdmin phpMyAdmin 3.x
phpMyAdmin phpMyAdmin 2.11.x
不受影响系统:
phpMyAdmin phpMyAdmin 3.1.3.2
描述:BUGTRAQ ID: 34526
CVE(CAN) ID: CVE-2009-1285
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。
phpMyAdmin所使用的setup脚本没有正确地过滤配置参数,如果远程攻击者向服务器提交了恶意的POST请求,就可以在所生成的配置文件中注入任意PHP代码。
建议:厂商补丁:
phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12342
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12348
phpMyAdmin phpMyAdmin 3.x
phpMyAdmin phpMyAdmin 2.11.x
不受影响系统:
phpMyAdmin phpMyAdmin 3.1.3.2
描述:BUGTRAQ ID: 34526
CVE(CAN) ID: CVE-2009-1285
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。
phpMyAdmin所使用的setup脚本没有正确地过滤配置参数,如果远程攻击者向服务器提交了恶意的POST请求,就可以在所生成的配置文件中注入任意PHP代码。
建议:厂商补丁:
phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12342
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12348