在 phpMyAdmin 中發現一個資訊洩漏問題。攻擊者可以讀取網頁伺服器使用者可存取之伺服器上的任何檔案。這與 mysql.allow_local_infile PHP 組態相關。當 AllowArbitraryServer 組態設定設定為 false (預設值) 時，攻擊者需要一個本機 MySQL 帳戶。當設定為 true，攻擊者可搭配利用惡意的 MySQL 伺服器惡意利用此弱點。針對 Debian 8「Jessie」，此問題已在 4:4.2.12-2+deb8u5 版本中修正。建議您升級 phpmyadmin 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-1692-1：phpmyadmin 安全性更新

medium Nessus Plugin ID 122490

版本 1.5