影響版本:

phpMyAdmin 3.x

phpMyAdmin 2.11.x漏洞描述:

BUGTRAQ  ID: 36658

CVE ID: CVE-2009-3697,CVE-2009-3696

phpMyAdmin是用PHP編寫(xiě)的工具，用于通過(guò)WEB管理MySQL。

phpMyAdmin沒(méi)有正確地過(guò)濾對(duì)MySQL表格名稱(chēng)所提交的輸入?yún)?shù)，遠(yuǎn)程攻擊者可以通過(guò)提交惡意請(qǐng)求執(zhí)行存儲(chǔ)式跨站腳本攻擊，并在用戶(hù)瀏覽惡意數(shù)據(jù)時(shí)執(zhí)行所注入的HTML和腳本代碼；此外phpMyAdmin還沒(méi)有正確地過(guò)濾提交給PDF schema生成器功能的各種參數(shù)，遠(yuǎn)程攻擊者可以通過(guò)提交惡意請(qǐng)求執(zhí)行SQL注入攻擊。<*參考

http://secunia.com/advisories/37016/

http://www.phpmyadmin.net/home_page/security/PMASA-2009-6.php

https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=528769

http://bugs.gentoo.org/show_bug.cgi?format=multiple&id=288899

http://secunia.com/advisories/37089/ *>

SEBUG安全建議:

廠(chǎng)商補(bǔ)?。?

phpMyAdmin

目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，請(qǐng)到廠(chǎng)商的主頁(yè)下載：

http://www.phpmyadmin.net/

【編輯推薦】

1. 谷歌發(fā)布Android安全漏洞補(bǔ)丁修復(fù)兩個(gè)DoS漏洞
2. 微軟緊急發(fā)布SMBv2安全漏洞補(bǔ)丁緩解風(fēng)險(xiǎn)
3. 360安全衛(wèi)士：打漏洞補(bǔ)丁防止微軟“黑屏”