发布日期:2011-10-17
更新日期:2011-10-18
受影响系统:
phpMyAdmin phpMyAdmin 3.4.5
描述:
--------------------------------------------------------------------------------
phpMyAdmin是一个用PHP编写的,可以通过 web 方式控制和操作 MySQL 数据库。
phpMyAdmin的phpmyadmin.css.php脚本实现上存在输入验证问题,远程攻击者可能利用此漏洞获取服务器相关的敏感信息。
phpmyadmin.css.php中的js_frame参数缺乏足够的输入验证,可被利用泄露信息。如果js_frame参数定义为数组,脚本会在返回的错误信息中包含完整路径。
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
--------------------------------------------------------------------------------
厂商补丁:
phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: