GLSA-201707-03:phpMyAdmin:安全性繞過
medium Nessus Plugin ID 101334
語系:
概要
遠端 Gentoo 主機缺少一個或多個與安全性相關的修補程式。說明
遠端主機受到 GLSA-201707-03 中所述的弱點影響(phpMyAdmin:安全性繞過)發現一個弱點,由「$cfg['Servers'][$i] ['AllowNoPassword'] = false」造成的限制在某些 PHP 版本下會被繞過。這會導致未設定密碼的使用者帳戶遭到入侵,即使管理員已將「$cfg['Servers'][$i] ['AllowNoPassword']」」設定為 false (預設值) 亦然。
此行為取決於所使用的 PHP 版本 (PHP 5 似乎會受到影響,而 PHP 7.0 則不會)。
影響:
只需要知道使用者名稱的遠端攻擊者可繞過安全性限制並存取 phpMyAdmin。
因應措施:
設定一個供所有使用者使用的密碼。
解決方案
所有 phpMyAdmin 4.0.x 使用者皆應升級至最新版本:# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/phpmyadmin-4.0.10.20:4.0.10.20' 所有其他 phpMyAdmin 使用者皆應升級至最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/phpmyadmin-4.7.0:4.7.0'
另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 101334
檔案名稱: gentoo_GLSA-201707-03.nasl
版本: 3.2
類型: local
已發布: 2017/7/10
已更新: 2021/1/11
支援的感應器: Nessus
弱點資訊
CPE: p-cpe:/a:gentoo:linux:phpmyadmin, cpe:/o:gentoo:linux
必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
修補程式發佈日期: 2017/7/8
參考資訊
GLSA: 201707-03