漏洞信息详情
phpMyAdmin register_globals emulation 层 本地文件包含漏洞
- CNNVD编号:CNNVD-200510-184
- 危害等级: 中危
- CVE编号:
CVE-2005-3300
- 漏洞类型:
输入验证
- 发布时间:
2005-10-23
- 威胁类型:
远程
- 更新时间:
2005-10-31
- 厂 商:
phpmyadmin - 漏洞来源:
Stefan Esser s.es… -
漏洞简介
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。
phpMyAdmin 2.6.4-pl3 及以前版本 grab_globals.php 文件中的register_globals emulation 层不能完成对上传文件中_FILES数组值的检测,这允许攻击者利用不使用grab_globals.php的直接请求包含任意的本地文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://prdownloads.sourceforge.net/phpmyadmin/phpMyAdmin-2.6.4-pl3.tar.gz
参考网址
来源: www.phpmyadmin.net
链接:http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2005-5
来源: MISC
链接:http://www.hardened-php.net/advisory_162005.73.html
来源: XF
名称: phpmyadmin-multiple-scripts-file-include(22835)
链接:http://xforce.iss.net/xforce/xfdb/22835
来源: BID
名称: 15169
链接:http://www.securityfocus.com/bid/15169
来源: SUSE
名称: SUSE-SA:2005:066
链接:http://www.novell.com/linux/security/advisories/2005_66_phpmyadmin.html
来源: SUSE
名称: SUSE-SR:2005:028
链接:http://www.novell.com/linux/security/advisories/2005_28_sr.html
来源: GENTOO
名称: GLSA-200510-21
链接:http://www.gentoo.org/security/en/glsa/glsa-200510-21.xml
来源: DEBIAN
名称: DSA-880
链接:http://www.debian.org/security/2005/dsa-880
来源: SECTRACK
名称: 1015091
链接:http://securitytracker.com/id?1015091
来源: SECUNIA
名称: 17607
链接:http://secunia.com/advisories/17607
来源: SECUNIA
名称: 17559
链接:http://secunia.com/advisories/17559
来源: SECUNIA
名称: 17337
链接:http://secunia.com/advisories/17337
来源: SECUNIA
名称: 17289
链接:http://secunia.com/advisories/17289/
来源: BUGTRAQ
名称: 20051022 Advisory 16/2005: phpMyAdmin Local File Inclusion Vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=113017591414699&w=2
来源: FULLDISC
名称: 20051022 Advisory 16/2005: phpMyAdmin Local File Inclusion Vulnerability
链接:http://archives.neohapsis.com/archives/fulldisclosure/2005-10/0478.