漏洞信息详情
phpMyAdmin 'phpinfo.php'敏感信息泄漏漏洞
- CNNVD编号:CNNVD-201012-251
- 危害等级: 中危
- CVE编号: CVE-2010-4481
- 漏洞类型: 授权问题
- 发布时间: 2010-12-21
- 威胁类型: 远程
- 更新时间: 2010-12-21
- 厂 商: phpmyadmin
- 漏洞来源:
漏洞简介
phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。
phpMyAdmin 3.4.0-beta1之前版本中存在授权问题漏洞。远程攻击者可以借助对phpinfo.php的直接请求(该请求调用了phpinfo函数)绕过认证并获取敏感信息。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://phpmyadmin.git.sourceforge.net/git/gitweb.cgi?p=phpmyadmin/phpmyadmin;a=commitdiff;h=4d9fd005671b05c4d74615d5939ed45e4d019e4c
参考网址
来源: VUPEN
名称: ADV-2010-3238
链接:http://www.vupen.com/english/advisories/2010/3238
来源: www.phpmyadmin.net
链接:http://www.phpmyadmin.net/home_page/security/PMASA-2010-10.php
来源: SECUNIA
名称: 42485
链接:http://secunia.com/advisories/42485
来源: phpmyadmin.git.sourceforge.net
链接:http://phpmyadmin.git.sourceforge.net/git/gitweb.cgi?p=phpmyadmin/phpmyadmin;a=commitdiff;h=4d9fd005671b05c4d74615d5939ed45e4d019e4c
受影响实体
- Phpmyadmin Phpmyadmin:3.1.5:Rc1
- Phpmyadmin Phpmyadmin:3.2.0:Rc1
- Phpmyadmin Phpmyadmin:3.0.1:Rc1
- Phpmyadmin Phpmyadmin:3.1.3.2
- Phpmyadmin Phpmyadmin:3.0.1.1
补丁
- phpMyAdmin-3.4.0-beta1-all-languages.tar
- phpMyAdmin-3.4.0-beta1-english.tar
- phpMyAdmin-3.4.0-beta1-all-languages.tar
- phpMyAdmin-3.4.0-beta1-english.tar
- phpMyAdmin-3.4.0-beta1-all-languages.tar
评论